عملیات دزدی ایمیل:  کشف آسیب پذیری روز صفرم XSS در پلتفرم ایمیل Zimbra

دسته بندی ها : آسیب پذیری, اخبار ۲۱ بهمن ۱۴۰۰ آپا دانشگاه تبریز 154 بازدید
zimbra

محققین یک کمپین فعال را کشف کرده اند که از آسیب پذیری zero day موجود در پلتفرم ایمیل zimbra استفاده می کرده است.

Zimbra یک پلتفرم ایمیل متن باز می‌باشد. به گفته توسعه دهنده پلتفرم، این پلتفرم از صدها میلیون آدرس های ایمیل واقع در ۱۴۰ کشور پشتیبانی می کند.

در ۳ فوریه، محققان امنیت سایبری Volexity، Steven Adair و Thomas Lancaster گفتند که یک گروه، از سیستم یاد شده تحت  عنوان TEMP_Heretic در یک سری از حملات فیشینگ ایمیل استفاده می کنند.

Volexity در یک مشاوره امنیتی گفت که این کمپین تحت عنوان  “Operation EmailThief”  برای اولین بار در دسامبر ۲۰۲۱ کشف شد و احتمالاً کار مجرمان سایبری چینی است.

به گفته این تیم، TEMP_Heretic در انتخاب قربانیان احتمالی خود با دقت عمل می‌کند. عامل تهدید کننده ابتدا فاز شناسایی را انجام می‌دهد و از ایمیل‌های قابل ردیابی برای تشخیص معتبر بودن یک آدرس ایمیل و آیا اینکه تارگت ایمیل های خود را باز می‌کند یا نه استفاده می‌کند. بعد از آن، مرحله دوم حمله آغاز می‌شود.

در مجموع، از ۷۴ آدرس ایمیل منحصر به فرد Microsoft Outlook برای ارسال ایمیل های اولیه استفاده شده است که حاوی تصاویر و موضوعات کلی و عمومی از جمله دعوت نامه ها، هشدارها و بازپرداخت های مربوط به بلیط هواپیما هستند.

سپس TEMP_Heretic ایمیل های فیشینگ مخصوص برای هر فرد که حاوی یک لینک مخرب می‌باشد، ارسال می کند. موضوع  ایمیل‌های بعدی مربوط به درخواست‌های مصاحبه از سازمان‌های خبری، از جمله AFP و BBC، و همچنین دعوت‌نامه‌ها به شام های مراسم خیریه بودند. موضوع سایر نمونه‌های ایمیل های فیشینگ جمع‌آوری‌ شده عمومی‌تر بوده و حاوی پیام تبریک تعطیلات بودند.

zimbra

قربانی باید از طریق یک مرورگر وارد حساب کاربری Zimbra شده باشد تا موقعی که بر روی یک لینک مخرب کلیک می‌کند اکسپلویت با موفقیت انجام پذیرد. اما طبق گفته‌های Volexity، خود لینک نیز می‌تواند از طریق برنامه‌های دیگر مانند Outlook یا Thunderbird باز شود.

zimbra

آسیب‌پذیریXSS  به حمله کنندگان امکان اجرای کد JavaScript تحت نشست Zimbra را می‌دهد که منجر به سرقت داده‌های ایمیل، پیوست‌ها و کوکی‌ها می‌شود. علاوه بر این، امکان داشت مجرمان سایبری از یک حساب ایمیل به دست آمده از این طریق، برای ارسال ایمیل‌های فیشینگ بیشتر استفاده کنند یا درخواست‌هایی را برای قربانی ارسال کنند و او را مجبور به دانلود بدافزار کنند.

TEMP_HERETIC قبلاً به کمپین هایی ربط داده شده است که دولت و سازمان‌های رسانه ای اروپایی را مورد هدف قرار می دهد.

محققین می‌گویند “در زمان نگارش این مقاله، این اکسپلویت هیچ وصله‌ی در دسترسی ندارد و به آن CVE اختصاص داده نشده است. (یعنی این یک آسیب‌پذیری zero-day می‌باشد). Volexity می‌تواند تأیید کند و آزمایش کرده است که جدیدترین نسخه‌های Zimbra – 8.8.15 P29 و P30 –  همچنان آسیب‌پذیر هستند؛ آزمایش نسخه ۹.۰.۰ نشان می‌دهد که احتمالاً این نسخه تحت تأثیر قرار نگرفته است.

Volexity در ۱۶ دسامبر زیمبرا را از تلاش برای اکسپلویت کردن مطلع کرد و PoC  را ارائه داد. زیمبرا با تایید این گزارش در ۲۸ دسامبر تصدیق کرد که این اکسپلویت برای تیم امنیت سایبری معتبر می‌باشد.

Volexity  پس از درخواست جزئیات وصله در ماه ژانویه که پاسخی برای آن دریافت نکرد، یافته‌های خود را در این ماه به صورت عمومی منتشر کرد. با این حال، کاربرانی که webmail client را به آخرین نسخه آپدیت کرده باشند، احتمالا در معرض خطر قرار ندارند.

محققان می گویند: “کاربران زیمبرا باید آپدیت به نسخه ۹.۰.۰ را در نظر گیرند، زیرا در حال حاضر نسخه ایمنی از ورژن ۸.۸.۱۵ وجود ندارد.”

اخبار آسیب‌پذیری‌های ایران و جهان را از وبسایت آپا دانشگاه تبریز، بخش آسیب‌پذیری‌ها دنبال کنید.

راه آسان‌تری برای ارتباط با کاربران‌مان پیدا کرده‌ایم :) عضویت در کانال

نظرات کاربران

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    لینک کوتاه :