Hackernews 编译，转载请注明出处： 谷歌的研究人员发现，黑客利用 Zimbra 电子邮件产品的一个漏洞，攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。 谷歌的威胁分析团队在 6 月份首次发现了这个漏洞，编号为 CVE-2023-37580。从 6 月开始，四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration，这是一个许多组织用来托管电子邮件的电子邮件服务器。 该漏洞是一个跨站点脚本(XSS)漏洞，允许黑客向受害者网站注入恶意脚本。 黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序，并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。 谷歌表示，针对希腊政府机构的攻击发生在 6 月 29 日，而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。 在官方补丁发布之前，谷歌观察到有三个威胁组织利用了这个漏洞，其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。 “在官方补丁发布后，我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的，这强调了组织尽快应用修复程序的重要性。” 对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮，黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。 第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为，该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月，该组织被发现利用了一个零日漏洞，影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中，电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。 第三次攻击是针对越南的一个政府组织，黑客试图通过网络钓鱼获取用户凭证。谷歌表示：“在这种情况下，利用 url 指向一个脚本，该脚本显示了一个钓鱼页面，要求用户的 webmail 凭证，并将窃取的凭证发布到一个托管在官方政府域名上的 url 上，攻击者可能会破坏这个域名。” 第四次攻击是针对巴基斯坦的一个政府组织，黑客试图窃取Zimbra认证令牌。 谷歌表示，这些黑客攻击是攻击者如何监控开源存储库的例子，这些存储库发布了漏洞修复程序，但尚未向用户发布。 研究人员补充说，这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后，第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。 他们表示：“邮件服务器中经常出现的跨站攻击漏洞也表明，需要对这些应用程序进行进一步的代码审计，尤其是针对跨站攻击漏洞。” “我们敦促用户和组织迅速应用补丁，并保持软件的最新状态，以获得全面的保护。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Hackernews 编译，转载请注明出处： 周四，美国网络安全和基础设施安全局在其“已知利用漏洞目录”中增加了两个漏洞，称有证据表明这些漏洞被积极利用。 这两个高度严重的漏洞与Zimbra Collaboration中的缺陷有关，这两个漏洞都可以链接在受影响的电子邮件服务器上，实现未经身份验证的远程代码执行。 CVE-2022-27925（CVSS评分：7.2） – 认证用户通过mboximport远程代码执行（RCE）（在3月份发布的版本8.8.15补丁31和9.0.0补丁24中修复） CVE-2022-37042 – MailboxImportServlet中的身份验证绕过（在 8 月发布的版本8.8.15补丁33和9.0.0补丁26中修复） “如果你运行的Zimbra版本早于Zimbra 8.8.15补丁33或Zimbra 9.0.0补丁26，你应该尽快更新到最新的补丁。”Zimbra本周早些时候警告说。 CISA没有透露任何有关利用这些漏洞进行攻击的信息，但网络安全公司Volexity描述了一个未知黑客大规模地利用Zimbra实例。 简而言之，这些攻击涉及利用上述身份验证绕过漏洞，通过上传任意文件在底层服务器上获得远程代码执行。 Volexity表示：“在访问CVE-2022-27925使用的同一端点（mboximport）时，有可能绕过身份验证，并且该漏洞可以在没有有效管理凭据的情况下被利用，从而大大提高了该漏洞的严重性。” 它还列举了全球1000多个使用该攻击向量进行后门攻击和破坏的实例，其中一些属于政府部门和部委、军事部门以及拥有数十亿美元收入的公司。 这些攻击发生在2022年6月底，还涉及部署web shell来保持对受感染服务器的长期访问。损害最大的国家包括美国、意大利、德国、法国、印度、俄罗斯、印度尼西亚、瑞士、西班牙和波兰。 Volexity说：“CVE-2022-27925最初被列为需要身份验证的RCE漏洞，然而，当与一个单独的漏洞结合使用时，它变成了一个未经验证的RCE漏洞，从而使远程利用攻击变得微不足道。” 一周前，CISA在目录中添加了另一个与Zimbra相关的漏洞CVE-2022-27924，如果被利用，攻击者可能会从目标实例的用户那里窃取明文凭据。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

据Bleeping Computer报道，邮件巨头Zimbra某些版本的高严重性漏洞的技术细节已经浮出水面，通过利用该漏洞，黑客可以在没有身份验证或用户交互的情况下窃取登录信息，这意味着黑客无需账号密码即可登录用户的邮箱。 该漏洞编号为CVE-2022-27924，目前已经被收录至CNNVD，编号为CNNVD-202204-3913，受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起，Zimbra 版本ZCS 9.0.0 的补丁24.1，以及ZCS 8.8.15的补丁31.1 中都发布了一个修复程序。 资料显示，Zimbra提供一套开源协同办公套件包括WebMail，日历，通信录，Web文档管理和创作。它最大的特色在于其采用Ajax技术模仿CS桌面应用软件的风格开发的客户端兼容Firefox,Safari和IE浏览器。其产品遍布全球，在各国/地区的政府、组织、金融和教育部门广泛使用。 悄无声息窃取登录凭证 SonarSource公司的研究人员报告了该漏洞，并对其进行描述，“未经身份验证的攻击者可以将任意 memcache 命令注入目标实例”。因此，攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。 Memcached是一个免费开源的、高性能的、具有分布式内存对象的缓存系统，通过减轻数据库负载加速动态Web应用。因此它可以存储电子邮件帐户的键/值对，通过减少对查找服务的 HTTP 请求数量来提高 Zimbra 的性能。但是，Memcache使用的是比较简单的基于文本的协议进行设置和检索。 Zimbra 的请求路由图 （SonarSource） 研究人员进一步解释，攻击者可以通过对易受攻击的Zimbra实例的特制HTTP请求，来覆盖已知用户名的IMAP路由条目。而当真实用户登录时，Zimbra中的Nginx代理会将所有 IMAP 流量转发给攻击者，包括纯文本凭据。 HTTP 请求（上）和发送到服务器的消息（下）（SonarSource） 邮件客户端（如Thunderbird、Microsoft Outlook、macOS等邮件应用程序和智能手机邮件应用程序）通常会将用户连接到其IMAP服务器的凭据存储在磁盘上，因此该漏洞在利用时不需要任何用户交互。但是，当邮件客户端重新启动或需要重新连接时，就需要重新对目标 Zimbra 实例进行身份验证。 事实上，在日常生活中，想要知道目标用户的电子邮件地址是一件非常容易的事情，而使用 IMAP 客户端也让攻击者可以更容易地利用该漏洞，但是这里面的详细信息并非强制性。另外一种攻击者则是利用技术允许绕过上述限制，在没有交互且不了解 Zimbra 实例的情况下窃取任何用户的凭据。 这是通过“Response Smuggling”来实现，利用了基于 Web 的 Zimbra 客户端的替代途径。通过不断向 Memcached 的共享响应流中注入比工作项更多的响应，攻击者可以强制随机 Memcached 查找使用注入的响应而不是正确的响应。这是因为 Zimbra 在使用 Memcached 响应时没有验证它的密钥。 那么，攻击者就可以轻松劫持电子邮件地址未知的随机用户的代理连接，仍然不需要任何交互或为受害者生成任何警报。 请及时更新安全措施 2022年3月1日，SonarSource公司研究人员就向Zimbra提交了这一漏洞信息，3月31日，Zimbra公司发布了第一个安全补丁，但是没有完全解决这一问题。5月10日，软件供应商发布了ZCS 9.0.0 补丁 24.1和ZCS 8.8.15 补丁 31.1解决了这些问题，方法是在发送到服务器之前创建所有 Memcache 密钥的 SHA-256 哈希，并敦促用户及时进行更新。 需要注意的是，SHA-256 不能包含空格，因此不能为 CRLF 注入创建新行，并且补丁版本不会发生命令注入攻击。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/336379.html 封面来源于网络，如有侵权请联系删除