CVE-2023-37580 탐지: 네 개의 해킹 그룹이 국가 기관을 타겟으로 하는 Zimbra 제로데이 취약점을 악용하다

Zimbra 협업 제품군과 같은 인기 있는 소프트웨어 제품에 영향을 미치는 취약점은 Zimbra Collaboration Suite (ZCS)는 공공 부문을 포함한 여러 산업 분야에서 조직을 계속해서 증가하는 위험에 노출시킵니다. 수비수는 Zimbra 제로데이 취약점인 CVE-2023-37580을 이용하여 여러 국가의 정부 기관으로부터 민감한 데이터를 추출하는 데 특별히 설계된 최소한 4개의 공격 작전을 노출시켰습니다.

CVE-2023-37580 익스플로잇 시도 탐지

외부 환경에서의 익스플로잇 사용이 지속적으로 증가함에 따라 보안 전문가들은 가능한 공격을 초기 단계에서 탐지하기 위한 맞춤형 탐지 콘텐츠가 필요합니다. 집단 사이버 방어를 위한 SOC Prime Platform은 CVE-2023-37580 익스플로잇 시도를 구체적으로 다루는 두 개의 시그마 규칙을 집약합니다: 

가능한 CVE-2023-37580 (Zimbra Classic Web Client XSS) 익스플로잇 시도 (웹 서버 경유) 

SOC 프라임 팀이 만든 이 시그마 규칙은 Zimbra Classic Web Client XSS 취약점의 익스플로잇 시도를 식별하는 데 도움이 됩니다. 탐지는 MITRE ATT&CK 프레임워크에 매핑되며 Drive-by Compromise (T1189) 기술을 사용하여 초기 접근을 다루고, 18개의 SIEM, EDR, XDR 및 데이터 레이크 솔루션과 호환됩니다. 

의심스러운 Zimbra Collaboration XSS 취약점 [CVE-2023-37580] 익스플로잇 시도 및 관련 웹 요청 (웹 서버 경유)

당사의 숙련된 위협 바운티 개발자 Mustafa Gurkam KARAKAYA가 만든 또 다른 시그마 규칙은 악성 XSS 페이로드를 전송하여 가능한 CVE-2023-37580 익스플로잇 시도를 탐지합니다. 이 알고리즘은 MITRE ATT&CK에 매핑되어 있으며, 초기 접근 및 탐색 전략을 다루며, Exploit Public-Facing Applications (T1190) 및 File and Directory Discovery (T1083)를 주요 기술로 삼습니다.

유행하는 CVE 탐지를 목표로 한 전체 탐지 스택을 탐색하려는 사이버 수비수는 탐지 탐색 버튼을 아래에서 클릭하여 규칙에 즉시 접근하고, 실행 가능한 메타데이터를 활용하며, 공격자가 먼저 공격할 기회를 남기지 마십시오.  

탐지 탐색

탐지 엔지니어링 기술을 개발하고, 집단 사이버 방어에 기여하며, 기여에 대한 보상을 받으시겠습니까? SOC Prime의 위협 바운티 프로그램 에 합류하여 탐지 코딩 기술을 훈련하고, 엔지니어링 경력을 발전시키며, 귀하의 CV를 코딩하는 동시에 산업 전문 지식을 풍부하게 하고, 귀하의 기여에 대한 재정적 혜택을 누리십시오. 

CVE-2023-37580 분석

2023년 초여름에, Google의 위협 분석 그룹(TAG) 은 ZCS에서 CVE-2023-37580로 추적되고 심각도 점수가 6.1(CVSS)인 새로운 제로데이 익스플로잇을 공개했습니다. 20,000개 이상의 기업이 Zimbra Collaboration 이메일 소프트웨어에 의존하기 때문에 이 보안 격차의 발견은 공공 부문 시스템을 포함한 여러 산업 분야의 글로벌 기업에 심각한 위협이 됩니다. 버그 공개 이후, TAG는 이메일 데이터를 훔치고 사용자 자격 증명과 인증 토큰을 노리는 익스플로잇 시도를 계획한 여러 해킹 집단을 관찰했습니다. 특히 대부분의 침투는 CVE-2023-37580 GitHub에서의 초기 수정.

CVE-2023-37580 은 ZCS의 8.8.15 패치 41 이전 버전에 영향을 미치는 중간 심각도의 XSS 취약점입니다. 이 취약점의 효과적인 익스플로잇은 피해자의 웹 브라우저에서 악성 스크립트를 실행 하도록 유도하는 것입니다. 이 행동은 Zimbra로의 XSS 요청을 유발하며 사용자를 공격의 대상자로 반영합니다. 복구 지침은 Zimbra 의 관련 권고문에서다루어졌습니다. 

2023년 6월 말, CVE-2023-37580 제로데이 결함의 초기 실제 익스플로잇은 그리스의 정부 기관에 대한 이메일 익스플로잇 URL을 사용하는 캠페인을 포함했습니다. 또 다른 해킹 그룹은 이 보안 결함을 이용하여 2023년 7월 말 공식 패치가 출시될 때까지 2주간 철저히 이용했습니다. 수비수들은 몰도바와 튀니지의 정부 기관을 겨냥한 수많은 익스플로잇 URL을 밝혀냈습니다. 두 번째 캠페인의 해킹 집단은 Winter Vivern aka UAC-0114와 연결되어 있으며, 2023년 2월 우크라이나와 폴란드 정부 기관에 피싱 공격을 실행했습니다. 

공식 패치 출시 몇일 전 세 번째 캠페인은 베트남의 공공 부문 조직에서 자격 증명을 도용하려는 무명 집단과 연결되었습니다. 

2023년 8월, 패치 출시 후 수비수들은 파키스탄의 공공 부문 기관을 대상으로 CVE-2023-37580을 무기화한 또 다른 캠페인을 공개했습니다. 해커들은 익스플로잇을 악용하여 Zimbra 인증 토큰을 도용했고, 이를 ntcpk[.]org 도메인으로 전송했습니다.

여러 국가에서 CVE-2023-37580을 악용한 일련의 공격 작전의 식별은 글로벌 비즈니스가 메일 서버에 패치를 신속하게 적용할 필요성을 강조합니다. CVE-2023-37580 긴급 완화 조치로서, 조직은 즉시 수정을 설치하고 소프트웨어를 정기적으로 업데이트하여 포괄적인 보호를 제공합니다. 

팀이 외부 환경에서의 제로데이 익스플로잇과 기타 떠오르는 위협에 대비하여 체계적으로 탐지 엔지니어링 작업을 간소화할 수 있도록 돕기 위해, Uncoder IO를 시작하세요. 이 도구는 여러 언어 형식으로의 하위 초간 크로스 플랫폼 콘텐츠 번역을 가능하게 하고 자동화된 IOC 패키징을 지원합니다.