Vulnerabilidade XSS CVE-2018-6882 na Zimbra Collaboration Suite Usada para Atacar Governo Ucraniano, Alerta CERT-UA
Índice:
CERT-UA recentemente alertou a comunidade global sobre uma nova atividade maliciosa direcionada a instituições estatais ucranianas. Desta vez, adversários não identificados exploram um problema de segurança de cross-site scripting no Zimbra Collaboration Suite (ZCS) rastreado como CVE-2018-6882 para espionar conversas de e-mail dos funcionários ucranianos. Dada a natureza da ameaça, a CERT-UA considera isso um ataque direcionado rastreado pelo identificador UAC-0097.
Explorando a Vulnerabilidade CVE-2018-6882 do Zimbra: Visão Geral do Ataque
Zimbra é uma solução empresarial para sincronização de e-mail, calendário e colaboração entre equipes que pode ser implantada tanto na nuvem quanto localmente. Mais de 200.000 empresas em todo o mundo utilizam o Zimbra na nuvem, incluindo organizações no setor financeiro e governamental, o que representa uma séria ameaça a um grande número de clientes que se tornam vítimas potenciais de campanhas de spear-phishing e ataques cibernéticos relacionados explorando as vulnerabilidades de segurança do Zimbra.
Em março de 2018, pesquisadores de segurança identificaram um problema de cross-site scripting (XSS) de gravidade média no ZCS. Caso explorada, a falha permite que adversários realizem ações arbitrárias maliciosas em seu nome ou criem telas de login para roubar credenciais de usuários. O fluxo de exploração é relativamente simples. Os hackers só precisam convencer a vítima a abrir um e-mail especialmente criado no ZCS.
Durante o período de dezembro de 2021 a fevereiro de 2022, outro bug de XSS no Zimbra foi cada vez mais explorado abertamente, expondo várias organizações europeias, incluindo entidades governamentais, a várias ondas de ataques cibernéticos atribuídos a hackers chineses. As tentativas iniciais de exploração usaram e-mails de reconhecimento contendo gráficos incorporados, enquanto a segunda fase do ataque assumiu a forma de uma campanha de spear-phishing espalhando e-mails com URLs suspeitos. Explorando essa falha zero-day, os atacantes conseguiram obter acesso aos e-mails visados e exfiltrar os dados de e-mail para o servidor de C&C do adversário.
No curso da campanha maliciosa mais recente explorando a falha de XSS em questão, os e-mails distribuídos entre órgãos estatais ucranianos continham um cabeçalho de localização de conteúdo com código JavaScript que, através de uma cadeia de infecção, levou à exploração da vulnerabilidade detectada no ZCS (CVE-2018-6882). Esta vulnerabilidade de XSS permite que adversários injetem remotamente scripts maliciosos ou código HTML em um anexo enviado via e-mails usando um cabeçalho de localização de conteúdo. Explorar a CVE-2018-6882 permite o encaminhamento automático do e-mail comprometido para um endereço externo, o que pode ser considerado uma campanha de ciberespionagem direcionada.
Detecção e Mitigação
Pesquisadores de segurança testaram com sucesso a exploração do Zimbra no ZCS 8.7.11_GA-1854 (build 20170531151956) e sugerem que o problema de segurança afeta todas as versões do ZCS a partir da 8.5.0. O bug foi abordado na versão 8.8.7 do ZCS.
Para proteger a infraestrutura da organização contra possíveis ataques cibernéticos explorando a vulnerabilidade CVE-2018-6882 do Zimbra, é fortemente recomendável que as organizações verifiquem e atualizem para uma versão segura do software Zimbra. Além disso, a CERT-UA recomenda observar de perto as configurações específicas de e-mail para evitar riscos de exfiltração de dados e ataques de spear-phishing relacionados.
Além das melhores práticas de segurança para proteger o ambiente organizacional contra possíveis explorações do Zimbra, a CERT-UA fornece indicadores de compromisso para o ataque cibernético relacionado contra órgãos estatais ucranianos. Para agilizar as atividades de caça a ameaças, os operadores de segurança podem usar a ferramenta Uncoder CTI da SOC Prime para converter automaticamente os IoCs fornecidos pela CERT-UA em consultas de caça personalizadas prontas para serem executadas em um ambiente SIEM ou XDR escolhido. O Uncoder CTO está atualmente disponível sem custo para todos os usuários registrados em nossa plataforma Detection as Code até 25 de maio de 2022.
Utilizando a plataforma Detection as Code da SOC Prime, os operadores de segurança podem aumentar de forma contínua as capacidades de detecção e caça de ameaças enquanto permanecem atualizados com as ameaças emergentes continuamente.