Bắt đầu từ đầu năm 2023, TA473 (còn được gọi là Winter Vivern) đã bắt đầu khai thác lỗ hổng Zimbra CVE-2022-27926 trong các chiến dịch lừa đảo phishing nhắm vào các cơ quan chính phủ châu Âu.
Lỗ hổng này ảnh hưởng đến phiên bản Zimbra Collaboration Suite 9.0.0, được sử dụng để lưu trữ các cổng webmail công khai. Bằng cách khai thác lỗ hổng này, TA473 có thể thực thi tập lệnh web hoặc HTML tùy ý thông qua các tham số yêu cầu, cho phép truy cập trái phép vào các thông tin email nhạy cảm và các thông tin bí mật khác.
Các nhà nghiên cứu đã xác định được một số trường hợp tải các tải trọng JavaScript CSRF tùy chỉnh thông qua khai thác CVE-2022-27926. Các tải trọng được thực thi bởi các máy chủ lưu trữ các phiên bản webmail có lỗ hổng và thường sử dụng nhiều lớp mã hóa Base64 để che giấu chức năng của JavaScript. Sau khi giải mã, các tải trọng này sẽ thực hiện hành vi độc hại như đánh cắp tên đăng nhập, mật khẩu, CSRF token và cố gắng đăng nhập vào các cổng thư hợp pháp bằng thông tin đăng nhập đã bị đánh cắp.
Người dùng được khuyến nghị vá lỗ hổng cho tất cả các phiên bản của Zimbra Collaboration được sử dụng trong các cổng webmail công khai, đặc biệt là trong các cơ quan chính phủ châu Âu. Ngoài ra, nên hạn chế tài nguyên trên các cổng webmail công khai, tránh tiếp xúc với internet công cộng để ngăn chặn tin tặc có thể thu thập thông tin và tạo ra các tập lệnh tùy chỉnh với khả năng đánh cắp thông tin đăng nhập và đăng nhập vào tài khoản webmail của người dùng.
Nguồn: Security Online