Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Zimbra Vulnerabilità XSS zero-day
sfruttata per rubare dati sensibili

Zimbra Vulnerabilità XSS zero-day
sfruttata per rubare dati sensibili

da Maurizio / venerdì, 04 Febbraio 2022 / Pubblicato il Cyber Security, HACKER

Gli attori delle minacce stanno sfruttando attivamente la vulnerabilità XSS zero-day di Zimbra per rubare dati e si ritiene che gli hacker che hanno sfruttato la vulnerabilità zero-day nella piattaforma di posta elettronica e collaborazione open source di Zimbra siano collegati alla Cina.

Gli hacker stanno abusando della vulnerabilità XSS zero-day di Zimbra e stanno raggiungendo i loro obiettivi dannosi con l’aiuto di campagne di spear-phishing iniziate a dicembre dello scorso anno.

Obiettivi

Nelle loro campagne dannose, gli aggressori stanno prendendo di mira i media europei e le organizzazioni governative. E gli analisti della sicurezza informatica di Volexity hanno rilevato che l’operazione di spionaggio eseguita dagli aggressori è denominata in codice EmailThief.

Zimbra ha affermato che in oltre 140 paesi, più di 200.000 aziende utilizzano il suo software e servizi. Non solo, tra queste aziende, ci sono più di 1000 organizzazioni finanziarie e governative che utilizzano anche il software e i servizi di Zimbra.

Operatori e Funzionamento

Una vulnerabilità di cross-site scripting (XSS) consente agli attori delle minacce di eseguire codice JavaScript arbitrario nel contesto di una sessione utente sulla piattaforma Zimbra.

E questo bug colpisce la versione più recente di Zimbra (Zimbra 8.8.15). Qui, gli analisti della sicurezza informatica hanno attribuito gli attacchi al gruppo di hacker TEMP_HERETIC precedentemente sconosciuto che prende di mira principalmente i media e le organizzazioni governative in Europa.

Oltre a questo, gli attacchi si svolgono in due fasi, ed eccoli qui:

  • Prima fase: in questa fase, gli aggressori conducono la sorveglianza e inviano e-mail per verificare se la vittima riceve e apre i messaggi.
  • Seconda fase: in questa fase, viene inviato un gran numero di e-mail, in cui i destinatari vengono ingannati nel fare clic su un collegamento dannoso.

Sfruttando questo zero-day, un utente malintenzionato può facilmente eseguire le seguenti attività:

  • Per consentire l’accesso persistente a una casella di posta, può esfiltrare i cookie.
  • Invia messaggi di phishing ai contatti di un utente.
  • Nel contesto di un sito Web attendibile, un utente malintenzionato può inviare una richiesta di download di malware.

Inoltre, per portare a termine con successo l’attacco, il bersaglio deve accedere al sito dannoso tramite un collegamento mentre è connesso al client web Zimbra in un browser. E qui, con l’aiuto del client di posta elettronica come Thunderbird o Outlook, il link stesso può essere lanciato.

Consigli

I ricercatori di sicurezza di Volexity hanno raccomandato alcune misure di sicurezza per evitare tali attacchi:

  • A livello di gateway di posta e di rete, tutti gli eventi devono essere bloccati.
  • Per gli accessi sospetti e i referrer, gli utenti di Zimbra dovrebbero analizzare i dati storici del referrer.
  • Si consiglia agli utenti di Zimbra di aggiornare la piattaforma alla versione 9.0.0, poiché la versione 8.8.15 è vulnerabile.
Maurizio

Problem Solver e Cyber Security Advisor, si occupa di sicurezza informatica e di Ethical Hacking da oltre 20 anni.

Da diversi anni tiene corsi di Ethical Hacking e consapevolezza della sicurezza informatica formando centinaia di persone nell’IT e migliaia di risorse aziendali.

Tre caratteristiche che lo distinguono:

La passione/ossessione per le password
Ha chiamato Hash anche il suo gatto
Il papillon

Colore preferito? Verde, ovviamente!

Condividi
Taggato in: phishing, xss, ZERO-DAY, zimbra

Che altro puoi leggere

Samsung conferma che gli hacker hanno rubato
il codice sorgente dei dispositivi Galaxy
Tenere le password al sicuro
I Dieci Cyber Comandamenti
Attacchi phishing mobile mirati
al settore energetico aumentano del 161%

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • Il ransomware Magniber ora infetta gli utenti Windows
    tramite file JavaScript

    Una recente campagna dannosa che ha distribuito...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?