گروه تحلیل تهدیدات گوگل (TAG) کشف کرده است که مهاجمان سایبری از یک آسیبپذیری روز صفر (Zero Day) در میلسرورهای زیمبرا برای سرقت دادههای حساس از سازمانهای دولتی در چندین کشور جهان استفاده کردهاند.
هکرها این مشکل امنیتی با شدت متوسط را که اکنون با نام CVE-2023-37580 شناسایی شده است، از تقریباً یک ماه قبل از اینکه فروشنده در نسخه 8.8.15 نرم افزار به آن رسیدگی کند، مورد سوءاستفاده قرار دادند.
این نقص یک مشکل XSS (اسکریپت میان سایتی) است که در وبسرویس گیرنده زیمبرا وجود دارد.
به گفته تحلیلگران تهدید گوگل، عوامل تهدید از آسیبپذیری سیستمهای دولتی در یونان، مولداوی، تونس، ویتنام و پاکستان برای سرقت دادههای ایمیلها، دسترسی کاربری و توکنهای احراز هویت، انجام ارسال ایمیل و هدایت قربانیان به صفحات فیشینگ سوء استفاده کردند.
تیم گوگل چهار حمله متمایز را مشاهده کرد که از این آسیبپذیری استفاده میکردند که اولین حمله در اواخر خردادماه علیه یک سازمان دولتی در یونان شکل گرفته بود.
مهاجمان ایمیلهایی با آدرس اینترنتی مخرب ارسال میکردند که امکان استخراج دادههای ایمیل را فراهم میکرد و امکان فوروارد خودکار به یک آدرس تحت کنترل مهاجم را فراهم میکرد.
پس از اینکه تحلیلگران گوگل به شرکت زیمبرا در خصوص موارد مشاهده شده هشدار دادند، این شرکت به سرعت تغییراتی فوری در دادههای گیتهاب خود انجام داد.
کمپین دوم نیز چند روز بعد توسط گروهی با نام Winter Vivern انجام شد که سازمانهای دولتی در مولداوی و تونس را هدف قرار داد. آدرسهای جعلی در این مورد نیز فایلهای مخرب جاوا اسکریپت را روی سیستمهای هدف بارگذاری کرده بودند.
چند روز بعد زیمبرا یک توصیه امنیتی منتشر کرد که در آن اقداماتی برای جلوگیری از این آسیبپذیری توصیه میشد، اما هیچ اشارهای به مورد سوء استفاده هکرها از این موضوع انجام نشده بود.
کمپین سوم در مردادماه از سوی یک گروه تهدید ناشناس که یک سازمان دولتی ویتنامی را هدف قرار داده بود، آغاز شد. این حملات از یک URL برای هدایت قربانیان به یک صفحه فیشینگ استفاده میکردند.
پنج روز بعد زیمبرا بالاخره یک پچ رسمی برای CVE-2023-37580 منتشر کرد، اما هنوز اطلاعات مربوط به بهرهبرداری فعال را حذف نمیکند.
گوگل اشاره میکند که این سه عامل تهدید قبل از انتشار اصلاحیه رسمی از این آسیب پذیری سوء استفاده کردهاند.
چهارمین کمپین حملات نیز پس از انتشار پچ زیمبرا، بر روی سیستمهای یک سازمان دولتی پاکستان برای سرقت توکنهای احراز هویت اعمال شد.
گزارش گوگل جزئیات زیادی را درباره مهاجمان فاش نمیکند، اما همچنان به عنوان یادآوری اهمیت بهروزرسانیهای امنیتی به موقع است، علیرغم این که این آسیبپذیریها به آسیبپذیریهای با شدت متوسط نامگذاری میشوند، مهاجمان ممکن است از آنها برای پیریزی حملات خطرناکتر استفاده کنند.
بهرهبرداری از CVE-2023-37580 یکی از نمونههای متعدد نقصهای XXS است که برای حمله به سرورهای ایمیل، مانند CVE-2022-24682 و CVE-2023-5631 استفاده میشود، که روی زیمبرا و Roundcube تأثیر میگذارد.