Exploatarea activă a vulnerabilității XSS Zero-day în Zimbra

La data de 3 februarie 2022, a fost publicată pe internet o nouă vulnerabilitate XSS Zero-day în Zimbra. Exploatarea acesteia a început în decembrie 2021 și constă dintr-o campanie care conținea două faze de atac. Prima fază (recunoaștere) a fost folosită pentru a urmări dacă victima a primit și a deschis mesajul (mesajele) expediate de atacator. A doua fază (de livrare) a fost folosită pentru a atrage victimele să facă click pe un link malițios.
Pentru ca atacul să aibă loc cu succes, victima ar trebui să acceseze linkul primit printr-un mesaj în timp ce este conectat la clientul de webmail Zimbra prin intermediul unui browser web. Accesând link-ul dat, atacatorul se poate conecta la contul victimei.

Măsuri de remediere
Această vulnerabilitate afectează versiunea Zimbra 8.8.15 P30 (8.8.15_GA_4203) și toate versiunile anterioare. Zimbra versiunea 9.0.0 nu este afectată deoarece clientul HTML nu este disponibil pe aceasta.
În scopul sporirii protecției și evitării unui potențial atac, Echipa CERT Orange Moldova recomandă tuturor companiilor care utilizează webmail-ul Zimbra cu versiunile vulnerabile, aplicarea tuturor patch-urilor corespunzătoare sau efectuarea unui upgrade la versiunea Zimbra 9.0.0.

În cazul în care sunteţi ţinta unui atac cibernetic Echipa Orange Moldova CERT vă pune la dispoziție consultanţă gratuită şi o suită de soluţii avansate de securitate cibernetică. Contactează un expert la 700 sau 022977700 pentru a primi suport instant.

Surse adiționale
Operation EmailThief: Active Exploitation of Zero-day XSS Vulnerability in Zimbra
CVE-2022-24682
Zimbra Collaboration Joule 8.8.15 Patch 30 GA Release
DIVD-2022-00008 - XSS ZERODAY IN ZIMBRA