Peretas Mengeksploitasi Kerentanan 0 Hari di Platform Email Zimbra untuk Memata-matai Pengguna

  • Whatsapp
Vulnerability in Zimbra Email Platform
Peretas Mengeksploitasi Kerentanan Hari di Platform Email Zimbra untuk

News.nextcloud.asia –

Kerentanan di Platform Email Zimbra

Seorang aktor ancaman, kemungkinan besar berasal dari China, secara aktif berusaha untuk mengeksploitasi kerentanan zero-day di platform email open-source Zimbra sebagai bagian dari kampanye spear-phishing yang dimulai pada Desember 2021.

Operasi spionase — dengan nama kode “EmailPencuri” — dirinci oleh perusahaan keamanan siber Volexity dalam laporan teknis yang diterbitkan Kamis, mencatat bahwa keberhasilan eksploitasi kerentanan skrip lintas situs (XSS) dapat mengakibatkan eksekusi kode JavaScript arbitrer dalam konteks sesi Zimbra pengguna.

Pencadangan GitHub Otomatis

Volexity mengaitkan penyusupan, yang dimulai pada 14 Desember 2021, dengan kelompok peretasan yang sebelumnya tidak terdokumentasi yang dilacaknya di bawah moniker TEMP_HERETIC, dengan serangan yang ditujukan kepada pemerintah Eropa dan entitas media. Bug zero-day berdampak pada edisi open-source terbaru dari Zimbra yang berjalan versi 8.8.15.

Kerentanan di Platform Email Zimbra

Serangan-serangan itu diyakini terjadi dalam dua fase; tahap pertama ditujukan untuk pengintaian dan mendistribusikan email yang dirancang untuk mengawasi jika target menerima dan membuka pesan. Pada tahap berikutnya, beberapa gelombang pesan email disiarkan untuk mengelabui penerima agar mengklik tautan berbahaya.

Secara total, 74 alamat email unik outlook.com dibuat oleh penyerang untuk mengirimkan surat selama dua minggu, di antaranya pesan pengintaian awal berisi baris subjek umum mulai dari undangan hingga lelang amal hingga pengembalian uang untuk tiket pesawat.

“Agar serangan berhasil, target harus mengunjungi tautan penyerang saat masuk ke klien webmail Zimbra dari browser web,” kata Steven Adair dan Thomas Lancaster. “Tautan itu sendiri, bagaimanapun, dapat diluncurkan dari aplikasi untuk menyertakan klien tebal, seperti Thunderbird atau Outlook.”

Kerentanan di Platform Email Zimbra

Cacat yang belum ditambal, jika dipersenjatai, dapat disalahgunakan untuk mengekstrak cookie untuk memungkinkan akses terus-menerus ke kotak surat, mengirim pesan phishing dari akun email yang disusupi untuk memperluas infeksi, dan bahkan memfasilitasi pengunduhan malware tambahan.

Mencegah Pelanggaran Data

“Tak satupun dari infrastruktur diidentifikasi […] sama persis dengan infrastruktur yang digunakan oleh kelompok ancaman yang sebelumnya diklasifikasikan,” kata para peneliti. “Namun, berdasarkan organisasi yang ditargetkan dan individu tertentu dari organisasi yang ditargetkan, dan mengingat data yang dicuri tidak akan memiliki nilai finansial, kemungkinan serangan itu dilakukan oleh aktor APT Cina.”

“Pengguna Zimbra harus mempertimbangkan untuk meningkatkan ke versi 9.0.0, karena saat ini tidak ada versi 8.8.15 yang aman,” tambah perusahaan tersebut.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.