CISA mette in guardia dal bug Zimbra sfruttato in attacchi contro i paesi della NATO
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 5 Aprile 2023
Tags: #sicurezza, #Zimbra
Tags: #sicurezza, #Zimbra
CISA mette in guardia dal bug Zimbra sfruttato in attacchi contro i paesi della NATO
La Cybersecurity and Infrastructure Security Agency (CISA) ha avvertito le agenzie federali di correggere un difetto di scripting cross-site di Zimbra Collaboration (ZCS) sfruttato dagli hacker russi per rubare e-mail in attacchi mirati ai paesi della NATO.
La vulnerabilità (CVE-2022-27926) è stata sfruttata da un gruppo di hacking russo noto come Winter Vivern e TA473 in attacchi a più portali webmail di governi allineati alla NATO per accedere alle caselle di posta elettronica di funzionari, governi, personale militare e diplomatici.
Gli attacchi di Winter Vivern iniziano con gli hacker che utilizzano lo scanner di vulnerabilità dello strumento Acunetix per trovare server ZCS vulnerabili e inviare agli utenti e-mail di phishing che falsificano i mittenti con cui i destinatari hanno familiarità.
Ogni e-mail reindirizzava gli obiettivi ai server controllati dagli aggressori che sfruttano il bug CVE-2022-27926 o tentano di indurre i destinatari a consegnare le proprie credenziali.
Quando vengono presi di mira da un exploit, gli URL contengono anche uno snippet JavaScript che scaricherà un payload di seconda fase per lanciare un attacco Cross-Site Request Forgery (CSRF) per rubare le credenziali degli utenti Zimbra e i token CSRF.
Nei passaggi seguenti, gli autori delle minacce hanno utilizzato le credenziali rubate per ottenere informazioni sensibili dagli account webmail violati o mantenere la persistenza per tenere traccia delle e-mail scambiate nel tempo.
Gli hacker possono anche sfruttare gli account compromessi per lanciare più attacchi di phishing ed espandere la loro infiltrazione nelle organizzazioni mirate.
Alle agenzie federali è stato ordinato di applicare patch fino al 24 aprile
La vulnerabilità è stata aggiunta oggi al catalogo KEV (Known Exploited Vulnerabilities) di CISA, un elenco di falle di sicurezza note per essere attivamente sfruttate in natura.
Secondo una direttiva operativa vincolante (BOD 22-01) emessa dall'agenzia per la sicurezza informatica degli Stati Uniti nel novembre 2021, le agenzie federali civili del ramo esecutivo (FCEB) devono applicare patch ai sistemi vulnerabili sulle loro reti contro i bug aggiunti all'elenco KEV.
CISA ha concesso alle agenzie FCEB tre settimane, fino al 24 aprile, per proteggere le proprie reti dagli attacchi che avrebbero preso di mira la falla CVE-2022-27926.
Sebbene BOD 22-01 si applichi solo alle agenzie FCEB, CISA ha anche fortemente esortato tutte le organizzazioni a dare la priorità alla risoluzione di questi bug per bloccare ulteriori tentativi di sfruttamento.
"Questi tipi di vulnerabilità sono vettori di attacco frequenti per attori informatici malintenzionati e pongono rischi significativi per l'impresa federale", ha avvertito oggi CISA.
Giovedì, la CISA ha anche ordinato alle agenzie federali di correggere le vulnerabilità di sicurezza sfruttate come zero-day nei recenti attacchi per distribuire spyware commerciale su dispositivi mobili Android e iOS, come recentemente rivelato dal Threat Analysis Group (TAG) di Google.