CVE-2018-6882 XSS 취약점, 우크라이나 정부를 겨냥한 Zimbra 협업 제품군에서 활용, CERT-UA 경고

CERT-UA는 최근 경고했습니다 우크라이나 국가 기관을 대상으로 하는 새로운 악성 활동에 대해 전 세계 커뮤니티에 알렸습니다. 이번에는 이름 없는 적대자들이 Zimbra Collaboration Suite (ZCS)에서 발견된 CVE-2018-6882로 추적되는 교차 사이트 스크립팅 보안 문제를 활용하여 우크라이나 공무원의 이메일 대화를 감시합니다. 위협의 성격을 고려하여, CERT-UA는 이를 UAC-0097 식별자로 추적된 표적 공격으로 간주합니다.

Zimbra CVE-2018-6882 취약점 악용: 공격 개요

Zimbra는 클라우드 또는 온프레미스에서 배포할 수 있는 팀 간 이메일, 캘린더, 협업 동기화를 위한 엔터프라이즈 솔루션입니다. 전 세계 200,000개 이상의 기업이 금융 및 정부 부문을 포함한 조직들이 Zimbra를 클라우드에서 활용하고 있으며, 이는 Zimbra의 보안 취약점을 악용한 스피어 피싱 캠페인 및 관련 사이버 공격의 잠재적 피해자가 될 가능성을 높입니다.

2018년 3월, 보안 연구자들은 ZCS 내에서 중간 수준의 심각한 교차 사이트 스크립팅(XSS) 문제를 발견했습니다. 이 결함이 악용되면 적대자는 임의의 악성 행동을 진행하거나 사용자 자격 증명을 도용하기 위한 로그인 화면 유혹을 생성할 수 있게 됩니다. 악용 흐름은 비교적 간단합니다. 해커는 피해자가 ZCS에서 특별히 제작된 이메일을 열도록 설득하기만 하면 됩니다.

2021년 12월부터 2022년 2월까지, 또 다른 XSS Zimbra 버그 가 실제로 점점 더 많이 활용되어 정부 기관을 포함한 여러 유럽 조직을 중국 해커에 의해 기인한 여러 사이버 공격의 물결에 노출시켰습니다. 초기 악용 시도는 내장된 그래픽을 포함한 정찰 이메일을 활용했으며, 두 번째 공격 단계는 의심스러운 URL이 포함된 이메일을 확산하는 스피어 피싱 캠페인의 형태를 띠었습니다. 이 제로데이 결함을 악용하면서 공격자들은 표적 이메일에 접근하고 메일 데이터를 적대자의 C&C 서버로 추출하는 데 성공했습니다.

문제가 되는 XSS 결함을 활용하는 가장 최근의 악성 캠페인에서, 우크라이나 국가 기관 간에 배포된 이메일에는 자바스크립트 코드가 포함된 콘텐츠 위치 헤더가 포함되어 있었고, 이로 인해 ZCS의 탐지된 취약점을 악용하는 감염 체인으로 이어졌습니다. (CVE-2018-6882) 이 XSS 취약점은 적대자가 콘텐츠 위치 헤더를 사용하여 이메일을 통해 전송된 첨부 파일에 악성 스크립트나 HTML 코드를 원격으로 삽입할 수 있게 해줍니다. CVE-2018-6882를 악용하면, 안전하지 않은 이메일을 외부 주소로 자동 포워딩할 수 있으며, 이는 표적 사이버 스파이 활동으로 간주될 수 있습니다.

탐지 및 완화

보안 연구자들은 ZCS 8.7.11_GA-1854 (build 20170531151956)에서 Zimbra 취약점을 성공적으로 테스트했으며, 이 보안 문제는 8.5.0 버전부터 시작하는 모든 ZCS 버전에 영향을 미친다고 제안합니다. 이 버그는 ZCS 버전 8.8.7에서 해결되었습니다.

Zimbra CVE-2018-6882 취약점을 악용한 잠재적인 사이버 공격으로부터 조직의 인프라를 보호하려면, 조직은 Zimbra 소프트웨어의 안전한 버전으로 업그레이드하는 것이 강력히 권장됩니다. 또한 CERT-UA는 데이터 유출 위험 및 관련 스피어 피싱 공격을 방지하기 위해 특정 이메일 설정을 주의 깊게 살펴볼 것을 권장합니다.

가능한 Zimbra 익스플로잇으로부터 조직 환경을 보호하기 위한 보안 모범 사례 외에도, CERT-UA는 우크라이나 국가 기관에 대한 관련 사이버 공격에 대한 침해 지표를 제공합니다. 위협 탐지 활동을 간소화하기 위해 보안 수행자는 SOC Prime의 Uncoder CTI 도구를 사용하여 CERT-UA가 제공하는 IoC를 선택된 SIEM 또는 XDR 환경에서 실행할 준비가 된 맞춤형 사냥 쿼리로 자동 변환할 수 있습니다. Uncoder CTO는 현재 into custom hunting queries ready to run in a chosen SIEM or XDR environment. Uncoder CTO is currently 무료로 이용 가능합니다 등록한 모든 사용자는 2022년 5월 25일까지 ‘Detection as Code’ 플랫폼을 통해 이를 사용할 수 있습니다.

Leveraging SOC Prime의 Detection as Code 플랫폼, 보안 수행자는 새로운 위협에 맞서면서 위협 탐지 및 사냥 능력을 원활하게 강화할 수 있습니다.