Уязвимост в имейл сървъра на Zimbra е била използван от хакери за кражба на данни от правителствата на Гърция, Молдова, Тунис, Виетнам и Пакистан, съобщи в блог публикация екипът на Google за разузнаване на киберзаплахи.
Експлойтът, известен като CVE-2023-37580, атакува пощенския сървър на Zimbra Collaboration, за да краде имейл данни, потребителски идентификационни данни и токени за удостоверяване на организации. Атаката е засечена за първи път в края на юни в Гърция.
Нападателите, открили уязвимостта, са изпратили имейли с експлойт до една от правителствените организации. Когато потребителите кликват върху връзката, докато влизат в акаунта си в Zimbra, стават жертви на хакерската атака, техните имейл данни биват компрометирани и киберпрестъпниците поемат контрола над акаунтите им.
Zimbra публикува корекция на уязвимостта в Github на 5 юли, но масовото разпространение на експлойта започва по-късно, тъй като много потребители не са актуализирали софтуера си навреме.
„Тази ситуация демонстрира как нападателите наблюдават хранилищата с отворен код, за да експлоатират бързо уязвимостите, докато корекциите са в хранилището, но все още не са пуснати към потребителите”, поясняват специалистите от Google.
В средата на юли киберпрестъпната група Winter Vivern използва този експлойт, за да атакува правителствени организации в Молдова и Тунис. По-късно неизвестен нападател използва уязвимостта, за да получи пълномощията на членове на виетнамското правителство.
Последният експлойт, описан от екипа на Google за разузнаване на заплахи, включва кражба на токени за удостоверяване от пакистански правителствен имейл сървър. Тези токени се използват за достъп до блокирана или защитена информация.
По-рано тази година потребителите на Zimbra бяха обект на мащабна фишинг кампания. През 2022 г. нападателите използваха друг експлойт на Zimbra, за да откраднат имейли от европейски правителства и медии.
„Популярността на Zimbra Collaboration сред организации с ниски ИТ бюджети гарантира, че той ще остане привлекателна цел за нападателите”, казват специалисти по сигурността от ESET. Пощенският сървър на Zimbra е бил използван от около 200 000 клиенти към 2022 г., включително над 1000 правителствени организации.