Vulnerabilidade no Zimbra explorada para corromper emails governamentais

O Threat Analysis Group da Google revelou na última semana que uma vulnerabilidade zero-day no Zimbra Collaboration Suite foi explorada no início deste ano para roubar informação de emails de organizações de governos de vários países.

A vulnerabilidade (CVE-2023-37580) foi tornada pública durante o mês de julho e a Zimbra notificou os seus clientes para a mesma. A falha permite que um atacante execute código malicioso através do envio de emails que contenham URL específicos contra a organização alvo. Para que a vulnerabilidade seja explorada com sucesso, o utilizador tem de carregar no código malicioso enquanto estão autenticados numa sessão do Zimbra.

Pouco depois da Zimbra ter anunciado uma correção oficial, a Threat Analysis Group da Google alertou para que esta exploração tinha sido observada, mas não partilhou mais informações sobre os ataques. Agora, o grupo de análises de ameaça em questão revelou que assistiu à primeira campanha que explora esta vulnerabilidade a 29 de junho, quase um mês antes da correção ter sido lançada.

A campanha foi direcionada a organizações de governos na Grécia e o atacante alavancou um framework previamente documentado para roubar emails e anexos. O framework em questão também pode ser utilizada para automaticamente fazer forward de emails para endereços controlados pelo atacante.

Depois, a Google assistiu a uma segunda campnha que explorava a mesma vulnerabilidade contra organizações dos governos da Moldova e da Tunísia.