Il Threat Analysis Group (TAG) di Google ha scoperto a giugno una vulnerabilità zero-day in Zimbra Collaboration, un server email utilizzato da molte aziende. La patch ufficiale è disponibile dal 25 luglio, ma gli esperti del TAG hanno individuato un exploit circa un mese dopo, oltre ai tre attacchi precedenti. Ignoti cybercriminali hanno colpito organizzazioni governative in Grecia, Moldavia, Tunisia, Vietnam e Pakistan.
Vulnerabilità XSS nel web client
La vulnerabilità XSS (cross-site scripting), indicata con CVE-2023-37580, era presente nel client web di Zimbra Collaboration. I cybercriminali hanno sfruttato il bug per rubare email, credenziali utente e token di autenticazione, iniettando script infetti nelle pagine web.
Il primo exploit è stato scoperto il 29 giugno, quando i cybercriminali hanno inviato email infette ad un’organizzazione governativa in Grecia. Cliccando sul link nel messaggio durante una sessione Zimbra, email e allegati sono stati inviati all’indirizzo controllato dagli autori dell’attacco.
La software house ha pubblicato un hotfix su GitHub il 5 luglio, prima della patch ufficiale. Sfruttando questa informazione, altri gruppi di cybercriminali hanno colpito organizzazioni governative in Moldavia, Tunisia e Vietnam. In quest’ultimo caso, il link puntava ad una pagina di phishing usata per rubare le credenziali di login.
L’ultimo attacco è stato rilevato dopo il rilascio della patch ufficiale. L’exploit è stato usato per rubare i token di autenticazione di Zimbra ad un’organizzazione governativa del Pakistan. Tre dei quattro attacchi sono stati effettuati dopo la pubblicazione del fix su GitHub. È quindi evidente che i cybercriminali monitorano costantemente i repository open-source.