Detecção CVE-2023-37580: Quatro Grupos de Hackers Exploram uma Vulnerabilidade Zero-Day do Zimbra que Alvo o Estado

Vulnerabilidades afetando produtos de software populares, como Zimbra Collaboration Suite (ZCS), expõem continuamente organizações em múltiplos vetores da indústria, incluindo o setor público, a riscos crescentes. Defensores expuseram no mínimo quatro operações ofensivas empregando uma vulnerabilidade de dia zero do Zimbra rastreada como CVE-2023-37580, especificamente projetada para extrair dados sensíveis de entidades governamentais em vários países.

Detectar Tentativas de Exploração do CVE-2023-37580

Com um número constantemente crescente de exploits armados para exploração em campo, os profissionais de segurança necessitam de conteúdo de detecção personalizado para detectar possíveis ataques nas primeiras etapas. A plataforma SOC Prime para defesa cibernética coletiva agrega duas regras Sigma especificamente destinadas a tentativas de exploração do CVE-2023-37580: 

Possível Tentativa de Exploração do CVE-2023-37580 (Zimbra Classic Web Client XSS) (via servidor web) 

Esta regra Sigma da equipe SOC Prime ajuda a identificar tentativas de exploração da vulnerabilidade XSS no Zimbra Classic Web Client. A detecção é compatível com 18 soluções de SIEM, EDR, XDR e Data Lake e mapeada para o framework MITRE ATT&CK, abordando Acesso Inicial, com Comprometimento por Drive-by (T1189) como técnica correspondente. 

Tentativa de Exploração Suspeita de Vulnerabilidade XSS no Zimbra Collaboration [CVE-2023-37580] Com Solicitação Web Associada (via servidor web)

Outra regra Sigma, por nosso experiente desenvolvedor Threat Bounty Mustafa Gurkam KARAKAYA, detecta possíveis tentativas de exploração do CVE-2023-37580 enviando um payload malicioso de XSS. O algoritmo é compatível com 18 soluções de análise de segurança e mapeado para MITRE ATT&CK, abordando táticas de Acesso Inicial & Descoberta, com Exploração de Aplicações Voltadas ao Público (T1190) e Descoberta de Arquivos e Diretórios (T1083) como técnicas principais.

Para explorar toda a pilha de detecção voltada para detecção de CVE em tendência, os defensores cibernéticos podem clicar no Explorar Detecções botão abaixo. Acesse instantaneamente as regras, aproveite os metadados acionáveis e não deixe chance para os atacantes atacarem primeiro.  

Explorar Detecções

Ansioso para desenvolver suas habilidades de engenharia de detecção e contribuir para a defesa cibernética coletiva enquanto ganha dinheiro por sua contribuição? Junte-se às fileiras do programa Threat Bounty da SOC Prime para treinar suas habilidades de codificação de detecção, avançar em sua carreira de engenharia e codificar seu CV, enquanto enriquece seu conhecimento na indústria e ganha benefícios financeiros por sua contribuição. 

Análise do CVE-2023-37580

No início do verão de 2023, o Grupo de Análise de Ameaças do Google (TAG) revelou um novo exploit de dia zero no ZCS rastreado como CVE-2023-37580 com uma pontuação de gravidade de 6.1 (CVSS). Como mais de 20 mil empresas dependem do software de e-mail Zimbra Collaboration, a descoberta dessa falha de segurança representa uma séria ameaça para empresas globais em múltiplos setores da indústria, incluindo sistemas do setor público. Desde a divulgação do bug, o TAG observou quatro coletivos de hackers por trás de tentativas de exploração visando roubar dados de e-mail, credenciais de usuários e tokens de autenticação. Notavelmente, a maioria das intrusões ocorreram após a divulgação pública da correção inicial no GitHub.

CVE-2023-37580 é uma vulnerabilidade XSS de gravidade média no Zimbra Classic Web Client afetando versões do ZCS anteriores à 8.8.15 Patch 41. A exploração efetiva dessa vulnerabilidade permite a execução de scripts maliciosos nos navegadores web das vítimas, atraindo-as a clicarem em um URL cuidadosamente elaborado. Essa ação aciona a solicitação XSS ao Zimbra e reflete o ataque de volta ao usuário. A orientação de remediação foi abordada pela Zimbra no respectivo comunicado. 

A exploração inicial em mundo real da falha de dia zero CVE-2023-37580 no final de junho de 2023 envolveu uma campanha direcionada a uma entidade governamental na Grécia, aproveitando e-mails com URLs de exploit enviados aos usuários alvos. Outro grupo de hackers aproveitou a falha de segurança durante um período de duas semanas até que o patch oficial fosse liberado no final de julho de 2023. Defensores descobriram inúmeros URLs de exploits direcionados a entidades governamentais na Moldávia e na Tunísia. O coletivo hacker por trás da segunda campanha pode ser ligado ao Winter Vivern também conhecido como UAC-0114, que lançou uma série de ataques de phishing contra entidades governamentais ucranianas e polonesas em fevereiro de 2023. 

Uma terceira campanha, apenas alguns dias antes da liberação do patch oficial, foi associada a um grupo desconhecido tentando roubar credenciais de uma organização do setor público no Vietnã. 

Em agosto de 2023, após a liberação do patch, defensores revelaram outra campanha armando o CVE-2023-37580 para alvejar instituições do setor público no Paquistão. Os hackers abusaram do exploit para roubar o token de autenticação do Zimbra, que foi então exfiltrado para o domínio ntcpk[.]org.

A identificação de uma série de operações ofensivas explorando o CVE-2023-37580 em diferentes países ressalta a necessidade crítica das empresas globais de aplicarem prontamente patches em seus servidores de e-mail. Como medidas urgentes de mitigação do CVE-2023-37580, as organizações são incitadas a instalar imediatamente as correções e manter o software sempre atualizado para sua proteção abrangente. 

Para ajudar sua equipe a agilizar operações de engenharia de detecção enquanto defende proativamente contra exploits de dia zero e outras ameaças emergentes, comece com Uncoder IO, que permite tradução de conteúdo em tempo real para múltiplos formatos de linguagem e suporta empacotamento automatizado de IOCs.