کشف آسیبپذیری روز صفر در سرویس ایمیل زیمبرا
نکته قابلتوجه این است که تعداد زیادی از بدافزارها از طریق ایمیل گسترش پیدا کرده و با استفاده از تکنیکهای مهندسی اجتماعی، کاربران را متقاعد میکنند پیوستهای ناامن را باز یا روی پیوندهای فیشینگ کلیک کنند. در این راستا به تازگی اعلام شده است در پی سرقت اطلاعات کاربران، دادههای ایمیل و توکنهای احراز هویت آنها توسط مهاجمان، آسیبپذیری روز صفر سرویس ایمیل Zimbra، کشف شد. به گفته گروه محققان امنیتی گوگل، بیشتر این حملات پس از ارائه اصلاحات اولیه این نقص روی سامانه GitHub رخ داد. درباره جزئیات این موضوع میتوان گفت این نقص امنیتی با شناسه CVE-۲۰۲۳-۳۷۵۸۰و شدت ۶.۱ یک آسیبپذیری XSS (reflected cross site scripting) است که خبر آن در ماه جولای ۲۰۲۳ توسط سرویس Zimbra منتشر شد. بهرهبرداری موفقیتآمیز از این نقص میتواند به اجرای کد مخرب روی مرورگر قربانی منجر شود. این امر با فریب قربانی و به سادگی با کلیک کردن روی یک URL ساختگی انجام میشود که درخواست مخرب را به سرور Zimbra ارسال و حمله را به مرورگر کاربر اجرا میکند. محقق گروه امنیتی گوگل که این نقص را کشف و گزارش کرد، اذعان داشته است: «چند کمپین بهرهبرداری از ماه ژوئن ۲۰۲۳، حداقل دو هفته پیش از ارائه هر توصیه امنیتی zimbra، کشف شده بودند. سه کمپین از چهار کمپین، قبل از انتشار وصله رصد شدند و کمپین چهارم نیز یک ماه پس از انتشار اصلاحات شناسایی شد.» کمپین اول، ایمیلهایی با محتوی URL مخرب را برای کاربران هدف ارسال میکرد که هنگامیکه روی آن کلیک میشد، یک بدافزار سرقت ایمیل را که قبلا در یک عملیات جاسوسی سایبری به نام EmailThief در فوریه ۲۰۲۳ مشاهده شده بود، ارسال میکرد.
مجموعه نفوذی کمپین اول، به نام TEMP-HERETIC شناخته شده است. بنابراین با توجه به موارد گفته شده این نقص امنیتی نسخههای قبل از ۸.۸.۱۵ را تحت تاثیر قرار میدهد. براساس اعلام مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای، تیم امنیت گوگل به الگویی اشاره کرد که در آن مهاجمان بهطور منظم از آسیبپذیریهای XSS در سرورهای ایمیل بهرهبرداری میکنند و ضروری است که چنین برنامههایی بهطور کامل بررسی و امنسازی شوند. کشف حداقل چهار کمپین با بهرهبرداری از آسیبپذیری با شناسه CVE-۲۰۲۳-۳۷۵۸۰ و فعال شدن سه کمپین پس از عمومی شدن این نقص امنیتی، حاکی از اهمیت اعمال وصله امنیتی منتشر شده توسط سازمانها در سرورهای پست الکترونیکی خود است. گفتنی است آسیبپذیری روز صفر به این معناست که تاکنون هیچ راهکاری برای آن ارائه نشده یا شما صفر روز فرصت پیدا کردن راهکار دارید؛ البته که یکی از ملاکهای حمایت از بدافزارها، تعداد بالای روز صفری است که در آن پشتیبانی میشوند.
