Google เตือนแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ zero-day ของ Zimbra ในการโจมตีองค์กรภาครัฐ

498/66 (IT) ประจำวันจันทร์ที่ 20 พฤศจิกายน 2566

Threat Analysis Group (TAG) ของ Google ได้ค้นพบว่าผู้โจมตีได้ใช้ประโยชน์จากช่องโหว่ Zero-day ในเซิร์ฟเวอร์อีเมล Zimbra Collaboration เพื่อขโมยข้อมูลที่ละเอียดอ่อนจากระบบของรัฐบาลในหลายประเทศ โดยพบว่าแฮกเกอร์ได้ใช้ประโยชน์จากปัญหาดังกล่าว ที่ CVE-2023-37580 ระดับความรุนแรงปานกลาง ตั้งแต่วันที่ 29 มิถุนายน และเมื่อวันที่ 25 กรกฎาคมได้มีการแก้ไขกับปัญหาดังกล่าวในเวอร์ชัน 8.8.15 Patch 41 ของซอฟต์แวร์ ซึ่งเป็นระยะเวลาเกือบหนึ่งเดือนในการจัดการกับปัญหา โดยช่องโหว่คือปัญหา XSS (cross-site scripting) ที่ใน Zimbra Classic Web Client    

ตามที่นักวิเคราะห์ภัยคุกคามของ Google ระบุว่าผู้โจมตีได้ใช้ประโยชน์จากระบบของรัฐบาลในกรีซ มอลโดวา ตูนิเซีย เวียดนาม และปากีสถาน เพื่อขโมยข้อมูลอีเมล ข้อมูลรับรองผู้ใช้ และโทเค็นการตรวจสอบสิทธิ์ และจากรายงานของ Google ยังไม่ได้เปิดเผยรายละเอียดมากเกี่ยวกับผู้โจมตี แต่ยังคงเตือนเกี่ยวกับความสำคัญของการอัปเดตอย่างทันท่วงที ถึงแม้ว่าจะเป็นช่องโหว่ระดับความรุนแรงปานกลาง เนื่องจากผู้โจมตีอาจใช้สิ่งเหล่านั้นเพื่อโจมตีต่อไป ซึ่งการใช้ประโยชน์จาก CVE-2023-37580 เป็นหนึ่งในหลายตัวอย่างของช่องโหว่ XXS ที่ใช้ในการโจมตีเมลเซิร์ฟเวอร์ เช่น CVE-2022-24682 และ CVE-2023-5631 ที่ส่งผลกระทบต่อ Zimbra และ Roundcube

แหล่งข่าว https://www.bleepingcomputer.com/news/security/google-hackers-exploited-zimbra-zero-day-in-attacks-on-govt-orgs/