Добавить в корзинуПозвонить
Найти в Дзене
OVERCLOCKERS.RU
143 тыс подписчиков

Прошли масштабные кибератаки на правительственные данные по всему миру

12
2 мин
Не менее четырех групп хакеров использовали ранее нераскрытую уязвимость в Zimbra Collaboration Suite (ZCS), что привело к краже данных электронной почты, учетных данных пользователей и токенов аутентификации из правительственных организаций по всему миру. ZCS — это сервер электронной почты, который также предоставляет услуги календаря, чата и видеоплатформы. Он используется тысячами компаний и сотнями миллионов частных лиц. Его клиенты включают в себя такие организации, как Японский институт передовых наук и технологий, Немецкий институт Макса Планка и Гунунг Севу, известный бизнес-инкубатор в Юго-Восточной Азии. Уязвимость, обозначенная как CVE-2023-37580, представляет собой отраженную ошибку межсайтового скриптинга (XSS) в почтовом сервере Zimbra. Она была исправлена 25 июля, но исправление стало доступно в общедоступном репозитории GitHub уже 5 июля. Группа анализа угроз Google (TAG) сообщила, что использование уязвимости нулевого дня началось в июне, до того, как Zimbra выпустила

Не менее четырех групп хакеров использовали ранее нераскрытую уязвимость в Zimbra Collaboration Suite (ZCS), что привело к краже данных электронной почты, учетных данных пользователей и токенов аутентификации из правительственных организаций по всему миру.

ZCS — это сервер электронной почты, который также предоставляет услуги календаря, чата и видеоплатформы. Он используется тысячами компаний и сотнями миллионов частных лиц. Его клиенты включают в себя такие организации, как Японский институт передовых наук и технологий, Немецкий институт Макса Планка и Гунунг Севу, известный бизнес-инкубатор в Юго-Восточной Азии.

Уязвимость, обозначенная как CVE-2023-37580, представляет собой отраженную ошибку межсайтового скриптинга (XSS) в почтовом сервере Zimbra. Она была исправлена 25 июля, но исправление стало доступно в общедоступном репозитории GitHub уже 5 июля. Группа анализа угроз Google (TAG) сообщила, что использование уязвимости нулевого дня началось в июне, до того, как Zimbra выпустила исправление.

Первоначально уязвимость нулевого дня была обнаружена в дикой природе в кампании, нацеленной на правительственную организацию в Греции. Злоумышленники рассылали своим целям электронные письма, содержащие URL-адреса эксплойтов. Если цель нажимала на ссылку во время активного сеанса Zimbra, URL-адрес загружал фреймворк, который крал электронные письма пользователей и вложения и устанавливал правило автоматической пересылки на адрес электронной почты, контролируемый злоумышленником.

Последующие кампании были нацелены на правительственные организации в Молдове и Тунисе, правительственную организацию во Вьетнаме и правительственную организацию в Пакистане. В последней кампании использовался эксплойт N-day для кражи токенов аутентификации Zimbra.

Обнаружение по меньшей мере четырех кампаний, использующих CVE-2023-37580, подчеркивает важность своевременного применения организациями исправлений к своим почтовым серверам. Оно также свидетельствует о том, что злоумышленники отслеживают репозитории с открытым исходным кодом, чтобы использовать уязвимости, исправление которых доступно в репозитории, но еще не доступно пользователям.

📃 Читайте далее на сайте