A Google fenyegetéselemző csoportja (TAG) felfedezte, hogy egyes támadók a Zimbra Collaboration e-mail szerver zero day sebezhetőségét kihasználva érzékeny adatokat loptak el több ország kormányzati rendszereiből.
A hackerek június 29. óta használták ki a most CVE-2023-37580 néven azonosított közepes súlyosságú biztonsági problémát, közel egy hónappal azelőtt, hogy a gyártó orvosolta volna azt. A hiba egy XSS (cross-site scripting) probléma, amely a Zimbra Classic Web Clientben van jelen.
A Google fenyegetéselemzői szerint a támadók Görögország, Moldova, Tunézia, Vietnam és Pakisztán kormányzati rendszereinél használták ki a sebezhetőséget, hogy e-mail adatokat, felhasználói hitelesítő adatokat és hitelesítési tokeneket lopjanak el, valamint e-mail továbbítást végezzenek és adathalász oldalakra vezessék az áldozatokat.
A Google négy különböző csoportot figyelt meg, akik 2023. június végén egy görögországi kormányzati szervezet ellen használták az akkor még ismeretlen sebezhetőséget. A támadók olyan rosszindulatú URL címet tartalmazó e-maileket küldtek, amelyek lehetővé tették az e-mail adatok kiszivárgását, és engedélyezték az automatikus továbbítást egy támadó által ellenőrzött címre. A Zimbra vészhelyzeti hotfixet tett közzé a GitHubon, miután a Google elemzői figyelmeztették a vállalatot a veszélyeztetettségre.
A második kampányt július 11-én hajtotta végre a “Winter Vivern“, amely moldovai és tunéziai kormányzati szervezeteket vett célba. Az exploit URL címek ebben az esetben rosszindulatú JavaScriptet töltöttek be a célrendszerekre. Július 13-án a Zimbra közzétett egy biztonsági tájékoztatót, amelyben a sebezhetőség enyhítésére tett javaslatokat, de nem említette, hogy a hackerek aktívan kihasználják a hibát.
Egy harmadik kampány július 20-án kezdődött egy ismeretlen csoporttól, amely egy vietnami kormányzati szervezetet célzott meg. Ezek a támadások egy exploit URL-t használtak, hogy az áldozatokat egy adathalász oldalra irányítsák. Öt nappal később a Zimbra kiadott egy hivatalos javítást a CVE-2023-37580-hoz, azonban továbbra sem adott tájékoztatást az aktív kihasználásról.
Egy negyedik, augusztus 25-i kampányban egy csoport egy pakisztáni kormányzati szervezet rendszereiben használta ki a hibát a Zimbra hitelesítési tokenek ellopására.
A Google jelentése nem sok részletet közöl a támadókról, de mégis emlékeztetőül szolgál az időben történő biztonsági frissítések fontosságára, még akkor is, ha azok közepes súlyosságú sebezhetőségeket érintenek, mert a már a rendszerben lévő támadók felhasználhatják azokat a támadásuk továbbvitelére.
