Gli attori delle minacce stanno sfruttando attivamente la vulnerabilità XSS zero-day di Zimbra per rubare dati e si ritiene che gli hacker che hanno sfruttato la vulnerabilità zero-day nella piattaforma di posta elettronica e collaborazione open source di Zimbra siano collegati alla Cina.
Gli hacker stanno abusando della vulnerabilità XSS zero-day di Zimbra e stanno raggiungendo i loro obiettivi dannosi con l’aiuto di campagne di spear-phishing iniziate a dicembre dello scorso anno.
Obiettivi
Nelle loro campagne dannose, gli aggressori stanno prendendo di mira i media europei e le organizzazioni governative. E gli analisti della sicurezza informatica di Volexity hanno rilevato che l’operazione di spionaggio eseguita dagli aggressori è denominata in codice EmailThief.
Zimbra ha affermato che in oltre 140 paesi, più di 200.000 aziende utilizzano il suo software e servizi. Non solo, tra queste aziende, ci sono più di 1000 organizzazioni finanziarie e governative che utilizzano anche il software e i servizi di Zimbra.
Operatori e Funzionamento
Una vulnerabilità di cross-site scripting (XSS) consente agli attori delle minacce di eseguire codice JavaScript arbitrario nel contesto di una sessione utente sulla piattaforma Zimbra.
E questo bug colpisce la versione più recente di Zimbra (Zimbra 8.8.15). Qui, gli analisti della sicurezza informatica hanno attribuito gli attacchi al gruppo di hacker TEMP_HERETIC precedentemente sconosciuto che prende di mira principalmente i media e le organizzazioni governative in Europa.
Oltre a questo, gli attacchi si svolgono in due fasi, ed eccoli qui:
- Prima fase: in questa fase, gli aggressori conducono la sorveglianza e inviano e-mail per verificare se la vittima riceve e apre i messaggi.
- Seconda fase: in questa fase, viene inviato un gran numero di e-mail, in cui i destinatari vengono ingannati nel fare clic su un collegamento dannoso.
Sfruttando questo zero-day, un utente malintenzionato può facilmente eseguire le seguenti attività:
- Per consentire l’accesso persistente a una casella di posta, può esfiltrare i cookie.
- Invia messaggi di phishing ai contatti di un utente.
- Nel contesto di un sito Web attendibile, un utente malintenzionato può inviare una richiesta di download di malware.
Inoltre, per portare a termine con successo l’attacco, il bersaglio deve accedere al sito dannoso tramite un collegamento mentre è connesso al client web Zimbra in un browser. E qui, con l’aiuto del client di posta elettronica come Thunderbird o Outlook, il link stesso può essere lanciato.
Consigli
I ricercatori di sicurezza di Volexity hanno raccomandato alcune misure di sicurezza per evitare tali attacchi:
- A livello di gateway di posta e di rete, tutti gli eventi devono essere bloccati.
- Per gli accessi sospetti e i referrer, gli utenti di Zimbra dovrebbero analizzare i dati storici del referrer.
- Si consiglia agli utenti di Zimbra di aggiornare la piattaforma alla versione 9.0.0, poiché la versione 8.8.15 è vulnerabile.
Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.
Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.
Tre caratteristiche che lo distinguono:
- La passione/ossessione per le password
- Ha chiamato Hash anche il suo gatto
- Il papillon
Colore preferito? Verde, ovviamente!
