Заключение
Обнаружение как минимум четырех кампаний, использующих CVE-2023-37580, трех кампаний после того, как ошибка стала достоянием общественности, демонстрирует важность того, чтобы организации как можно быстрее применяли исправления к своим почтовым серверам. Эти кампании также демонстрируют, как злоумышленники отслеживают репозитории с открытым исходным кодом, чтобы оперативно использовать уязвимости, когда исправление находится в репозитории, но еще не доступно пользователям. Участники Кампании №2 начали эксплуатировать ошибку после того, как патч был отправлен на Github, но до того, как Zimbra публично опубликовала рекомендации по исправлению.
Эксплойт CVE-2023-37580 следует за CVE-2022-24682, еще одной XSS-уязвимостью, отраженной в почтовых серверах Zimbra, которая активно эксплуатировалась в 2022 году, за ней последовала эксплойт CVE-2023 -5631. , XSS-уязвимость на почтовых серверах Roundcube в прошлом месяце. Регулярная эксплуатация XSS-уязвимостей на почтовых серверах также показывает необходимость более глубокого аудита кода этих приложений, особенно на предмет XSS-уязвимостей.
Мы хотели бы поблагодарить Zimbra за ответ и исправление этой уязвимости. Следуя нашему политика раскрытия информации, TAG делится своими исследованиями с целью повышения осведомленности и повышения безопасности всей экосистемы. Мы также добавляем все идентифицированные веб-сайты и домены в безопасный просмотр, чтобы защитить пользователей от дальнейшей эксплуатации. Мы призываем пользователей и организации оперативно устанавливать исправления и поддерживать программное обеспечение в актуальном состоянии для обеспечения своей защиты. TAG будет по-прежнему уделять особое внимание обнаружению, анализу и предотвращению использования уязвимостей нулевого дня, а также сообщать поставщикам об уязвимостях сразу после их обнаружения.
