Google TAG 透露，威胁行为者利用 Zimbra 协作套件零日漏洞 ( CVE-2023-37580 ) 窃取政府的电子邮件。

谷歌威胁分析小组 (TAG) 研究人员透露，Zimbra Collaboration 电子邮件软件中的一个零日漏洞（编号为CVE-2023-37580 （CVSS 评分：6.1））被四个不同的威胁参与者利用来窃取电子邮件数据、用户凭据，以及来自政府组织的身份验证令牌。

专家观察到，大多数攻击都是在该漏洞的补丁公开披露后发生的。

该漏洞是驻留在 Zimbra Classic Web 客户端中的反射跨站脚本 (XSS) 问题，它影响 8.8.15 补丁 41 之前的 Zimbra Collaboration (ZCS) 8。Zimbra 于 2023 年 7 月解决了漏洞 CVE- 2023-37580  。

Google TAG 研究员 Clément Lecigne 在 6 月份调查针对 Zimbra 电子邮件服务器的针对性攻击时发现了该零日漏洞。

“TAG 观察到三个威胁组织在官方补丁发布之前利用了该漏洞，其中包括在修复程序最初在 Github 上公开后可能已经了解该漏洞的组织。官方补丁发布后，TAG 发现了第四个利用 XSS 漏洞的活动。” 阅读Google TAG 发布的建议。“其中三项活动是在修补程序最初公开后开始的，强调了组织尽快应用修补程序的重要性。”

谷歌观察到的三个活动在修复程序发布之前利用了该漏洞，而第四个威胁行为者则在补丁发布一个月后发起了活动。

第一个针对希腊政府组织的活动，威胁行为者向其目标发送了包含漏洞利用 URL 的电子邮件。在登录的 Zimbra 会话期间单击该链接后，该 URL 会加载安全公司 Volexity 在 2022 年 2 月详细介绍的一个框架。该框架允许攻击者利用 XSS 问题窃取用户的邮件数据，例如电子邮件和附件，并设置设置自动转发规则以将传入邮件劫持到攻击者控制的电子邮件地址。

第二个威胁行为者自 7 月 11 日起在 7 月 25 日官方补丁发布之前利用了该漏洞。攻击者针对摩尔多瓦和突尼斯的政府组织，专家注意到每个 URL 都包含这些政府中特定组织的唯一官方电子邮件地址。TAG 研究人员将该活动与与俄罗斯有关的 APT 组织Winter Vivern (UNC4907) 联系起来。

第三个身份不明的组织利用该漏洞窃取属于越南政府组织的凭证。

“在这种情况下，漏洞利用网址指向一个脚本，该脚本显示用户网络邮件凭据的网络钓鱼页面，并将窃取的凭据发布到攻击者可能入侵的官方政府域上托管的网址。” 报告继续。

第四次攻击活动发生在 2023 年 8 月，威胁行为者利用该漏洞对巴基斯坦的一个政府组织进行了攻击。该漏洞用于窃取 Zimbra 身份验证令牌。

“发现至少有四个利用 CVE-2023-37580 的活动，这是该漏洞首次公开后的三个活动，这表明组织尽快对其邮件服务器应用修复程序的重要性。这些活动还强调了攻击者如何监控开源存储库，以伺机利用修复程序位于存储库中但尚未发布给用户的漏洞。” 报告总结道。“在修复程序被推送到 Github 之后，但在 Zimbra 公开发布带有修复建议的建议之前，第 2 号活动背后的参与者就开始利用该漏洞。”