Google заблокировал уязвимость нулевого дня в популярном почтовом сервисе

Исследователи кибербезопасности из группы анализа угроз Google (TAG) недавно обнаружили уязвимость нулевого дня в популярной платформе почтового сервера, которую хакеры использовали для кражи конфиденциальных данных правительственных организаций по всему миру.

Google заблокировал уязвимость нулевого дня в популярном почтовом сервисе. Фото: СС0

В сообщении в блоге, опубликованном исследователями Клементом Лесинем и Мэдди Стоун из TAG, сообщается, что в июне этого года в популярной платформе почтовых серверов Zimbra Collaboration была обнаружена ошибка межсайтового скриптинга (XSS).

Уязвимость XSS позволяет злоумышленникам внедрять вредоносные сценарии на уязвимые веб-сайты. Эти сценарии могут получать конфиденциальную информацию, такую как данные электронной почты, учетные данные пользователя и токены аутентификации, от ничего не подозревающих посетителей.

Уязвимость получила код CVE-2023-37580.

В Google заметили, что за период между обнаружением и исправлением уязвимости четыре злоумышленника использовали ее для нападения на различные правительственные организации.

Один из хакеров отправлял электронные письма с URL-адресом эксплойта людям, работающим в правительственной организации в Греции. Если жертва, вошедшая в сеанс Zimbra, нажимала ссылку, URL-адрес загружал инфраструктуру, которая использовала XSS для кражи электронных писем и вложений и настраивала правило автоматической пересылки на адрес, контролируемый злоумышленником.

Вторая кампания была нацелена на правительственные организации в Молдове и Тунисе, а третья – на вьетнамскую организацию. Также кто-то попытался украсть токены аутентификации Zimbra у людей, работающих в правительственной организации Пакистана.

Первая кампания, использующая нулевой день, была обнаружена в конце июня 2023 года, а Zimbra выпустила официальный патч месяц спустя, в конце июля. Кампания в Пакистане была проведена после выпуска патча, сообщили Google, подчеркнув важность своевременного обновления.

Из сообщения компании:

«Обнаружение как минимум четырех кампаний, использующих CVE-2023-37580, трех кампаний после того, как об ошибке впервые стало широко известно, демонстрирует важность того, чтобы организации как можно скорее применяли исправления к своим почтовым серверам.»

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме