Zimbra 0-day برای سرقت داده های ایمیل از سازمان های دولتی استفاده می شود

نتیجه

کشف حداقل چهار کمپین با بهره‌برداری از CVE-2023-37580، سه کمپین پس از عمومی شدن این اشکال، اهمیت اعمال اصلاحات توسط سازمان‌ها را در اسرع وقت در سرورهای ایمیل خود نشان می‌دهد. این کمپین‌ها همچنین نشان می‌دهند که چگونه مهاجمان مخازن منبع باز را رصد می‌کنند تا فرصت‌طلبانه از آسیب‌پذیری‌هایی که رفع مشکل در مخزن است، اما هنوز برای کاربران منتشر نشده است، بهره‌برداری کنند. بازیگران پشت کمپین شماره 2 پس از اینکه اصلاح به Github فشار داده شد، شروع به سوء استفاده از باگ کردند، اما قبل از اینکه Zimbra به طور عمومی این توصیه را با توصیه های اصلاحی منتشر کند.

بهره برداری از CVE-2023-37580 پس از CVE-2022-24682، یکی دیگر از آسیب پذیری های XSS منعکس شده در سرورهای پستی Zimbra است که در سال 2022 به طور فعال در طبیعت مورد سوء استفاده قرار گرفت و با بهره برداری از CVE-2023-56 دنبال شد. یک آسیب پذیری XSS در سرورهای ایمیل Roundcube در همین ماه گذشته. بهره برداری منظم از آسیب پذیری های XSS در سرورهای ایمیل نیز نیاز به ممیزی کد بیشتر این برنامه ها، به ویژه برای آسیب پذیری های XSS را نشان می دهد.

مایلیم از زیمبرا برای پاسخ و اصلاح این آسیب پذیری قدردانی کنیم. به دنبال سیاست افشای ما، TAG تحقیقات ما را برای افزایش آگاهی و ارتقای امنیت در سراسر اکوسیستم به اشتراک می‌گذارد. ما همچنین تمام وب‌سایت‌ها و دامنه‌های شناسایی‌شده را به «مرور ایمن» اضافه می‌کنیم تا از کاربران در برابر سوءاستفاده بیشتر محافظت کنیم. ما از کاربران و سازمان‌ها می‌خواهیم که به سرعت وصله‌ها را اعمال کنند و نرم‌افزار را برای محافظت کامل از آنها کاملاً به‌روز نگه دارند. در همین حال، TAG بر روی شناسایی، تجزیه و تحلیل، و جلوگیری از بهره برداری 0 روزه و همچنین گزارش آسیب پذیری ها به فروشندگان بلافاصله پس از کشف متمرکز خواهد بود.