A equipe de inteligência de ameaças do Google disse ter descoberto uma vulnerabilidade no servidor de e-mail Zimbra que foi usado para roubar dados dos governos da Grécia, Moldávia, Tunísia, Vietnã e Paquistão. A exploração, conhecida como CVE-2023-37580, tinha como alvo o servidor de e-mail da Zimbra Collaboration para roubar dados de e-mail, credenciais de usuário e tokens de autenticação de organizações.
Fonte da imagem: Google
A exploração foi usada pela primeira vez no final de junho na Grécia. Os invasores que descobriram a vulnerabilidade enviaram e-mails com uma exploração para uma das organizações governamentais. Os usuários que clicaram no link enquanto faziam login em sua conta Zimbra foram vítimas de um ataque de hacker, seus detalhes de e-mail foram comprometidos e os cibercriminosos assumiram o controle de suas contas.
O Zimbra publicou uma correção para a vulnerabilidade no Github em 5 de julho, mas a distribuição massiva do exploit começou mais tarde, pois muitos usuários não atualizaram o software a tempo. “Esta situação demonstra como os invasores monitoram os repositórios de código aberto para explorar rapidamente as vulnerabilidades quando os patches estão no repositório, mas ainda não foram liberados para os usuários”, disseram membros da equipe de inteligência de ameaças do Google.
Em meados de julho, o grupo cibercriminoso Winter Vivern utilizou esta exploração para atacar organizações governamentais na Moldávia e na Tunísia. Posteriormente, um invasor desconhecido usou a vulnerabilidade para obter credenciais de membros do governo vietnamita. A última exploração descrita pela equipe de inteligência de ameaças do Google envolve o roubo de tokens de autenticação de um servidor de e-mail do governo paquistanês. Esses tokens são usados para acessar informações bloqueadas ou protegidas.
Os usuários do Zimbra já foram alvo de uma campanha massiva de phishing no início deste ano. Em 2022, os invasores usaram outra exploração do Zimbra para roubar e-mails de governos e meios de comunicação europeus. Observe que o servidor de e-mail Zimbra foi usado por cerca de 200.000 clientes em 2022, incluindo mais de 1.000 organizações governamentais.
«A popularidade do Zimbra Collaboration entre organizações com baixos orçamentos de TI garante que ele continuará sendo um alvo atraente para os invasores”, afirmam pesquisadores da ESET, desenvolvedora de software antivírus e soluções de segurança de computadores.