کشف یک آسیب‌پذیری روز صفر در سرویس پیام‌رسانی زیمبرا

به گزارش ای بی اس نیوز، استفاده از ایمیل نسبت به گذشته افزایش یافته است، به گونه ای که برای هر مشکلی از آن استفاده می شود، حتی اگر استفاده از ایمیل راه امنی برای برقراری ارتباط نباشد.

قابل ذکر است که بسیاری از بدافزارها از طریق ایمیل منتشر می شوند و از تکنیک های مهندسی اجتماعی استفاده می کنند تا کاربران را متقاعد کنند که پیوست های ناامن را باز کنند یا روی پیوندهای فیشینگ کلیک کنند.

در همین راستا، اخیراً اعلام شد که آسیب‌پذیری روز صفر سرویس پیام‌رسان زیمبرا پس از سرقت اطلاعات کاربر، اطلاعات ایمیل و توکن‌های احراز هویت توسط مهاجمان کشف شد. به گفته گروه تحقیقاتی امنیتی گوگل، بیشتر این حملات پس از انتشار اولین وصله های این نقص در سیستم GitHub صورت گرفت.

با توجه به جزئیات این مشکل می توان گفت که این نقص امنیتی با شناسه CVE-2023-37580 و شدت 6.1 یک آسیب پذیری XSS (Reflected Cross site scripting) است که در جولای 2023 توسط سرویس Zimbra اعلام شد. بهره برداری موفقیت آمیز از این نقص می تواند منجر به اجرای کدهای مخرب در مرورگر قربانی شود.

این کار با فریب دادن قربانی انجام می شود تا به سادگی روی یک URL جعلی کلیک کند که یک درخواست مخرب به سرور زیمبرا ارسال می کند و حمله به مرورگر کاربر را اجرا می کند. محقق گروه امنیتی گوگل که این نقص را کشف و گزارش کرد، اعتراف کرد: «کمپین‌های سوءاستفاده چندگانه از ژوئن 2023، حداقل دو هفته قبل از انتشار توصیه‌های امنیتی Zimbra، کشف شدند. سه کمپین از چهار کمپین قبل از انتشار پچ شناسایی شد و کمپین چهارم یک ماه پس از انتشار وصله ها شناسایی شد.

اولین کمپین، ایمیل‌هایی را برای کاربران هدف ارسال کرد که حاوی URL مخربی بودند که با کلیک بر روی آن، بدافزار سرقت ایمیل که قبلاً در یک عملیات جاسوسی سایبری در فوریه ۲۰۲۳ به نام EmailThief دیده شده بود، ارائه می‌شد. مجموعه نفوذ کمپین اول به عنوان TEMP_HERETIC شناخته می شود. بنابراین با توجه به موارد ذکر شده، این نقص امنیتی نسخه های قبل از 8.8.15 را تحت تاثیر قرار می دهد.

توصیه های ایمنی

تیم امنیتی Google روندی را مشاهده کرده است که در آن مهاجمان به طور منظم از آسیب‌پذیری‌های XSS در سرورهای ایمیل سوء استفاده می‌کنند، و طبق گفته مرکز هماهنگی عملیات و پاسخ به حوادث رایانه‌ای، ضروری است که این برنامه‌ها به طور کامل بررسی و ایمن شوند.

کشف حداقل چهار کمپین سوء استفاده از آسیب پذیری با شناسه CVE-2023-37580 و فعال شدن سه کمپین پس از عمومی شدن این نقص امنیتی، نشان دهنده اهمیت به کارگیری وصله های امنیتی منتشر شده توسط سازمان ها در سرورهای پست الکترونیکی خود است.

لازم به ذکر است که آسیب‌پذیری روز صفر به این معناست که تاکنون هیچ راه‌حلی ارائه نشده است یا هیچ روزی برای یافتن راه‌حل فرصت ندارید. البته یکی از معیارهای پشتیبانی بدافزار، تعداد بالای صفر روزی است که برای آن پشتیبانی می شود.

انتهای پیام