CISA warns of Zimbra bug exploited in attacks against NATO countries
2023/04/03 BleepingComputer — CISA が連邦政府機関に要請したのは、NATO 諸国を標的とした攻撃でロシアのハッカーが Eメールを盗むために悪用した、Zimbra Collaboration (ZCS) に存在する XSS (Cross-Site Scripting) の脆弱性の修正である。NATO に加盟する複数の政府のポータルへの攻撃で、Winter Vivern および TA473 として追跡されているロシアのハッキング・グループが、この脆弱性 CVE-2022-27926 を悪用して、当局/政府/軍人/外交官などのメール・ボックスに不正アクセスしていたという。
Winter Vivern の攻撃は、Acunetix の脆弱性スキャナを悪用する脅威アクターが、脆弱な Zimbra Collaboration (ZCS) サーバを見つけ出し、受信者が慣れ親しんだ送信者になりすますフィッシング・メールを送信するところから始まる。それぞれのEメールは、攻撃者が管理するサーバへのターゲットのリダイレクトや、ターゲットを欺いた認証情報の取得などを試みる。
この攻撃の標的にされときに受信する URL には、第2段階のペイロードをダウンロードするための JavaScript スニペットも含まれており、Zimbra ユーザーの認証情報と CSRF トークンを盗むための、CSRF (Cross-Site Request Forgery) 攻撃が開始される。
次のステップで脅威アクターは、盗み出した認証情報を悪用することで、侵害した Web メールア・カウントからの機密情報の取得や、Eメールのやり取りの長期間にわたる追跡の維持を可能にする。また、侵害したアカウントを悪用して、大量のフィッシング攻撃を行い、標的とする組織への侵入を拡大する可能性もある。
4月24日までのパッチ適用が連邦政府機関に求められる
4月3日の時点で、この脆弱性は、CISA の KEV (Known Exploited Vulnerabilities) カタログに追加された。2021年11月に CISA が発行した、拘束力のあるオペレーション指令 (BOD 22-01) によると、連邦民生行政機関 (FCEB) 機関は、KEV リストに追加されたバグに対してパッチを適用する義務を負う。
CISA は FCEB 機関に対して、脆弱性 CVE-2022-27926 を狙う攻撃から保護するために、4月24日までの3週間を与えた。BOD 22-01 は FCEB 機関にのみ適用されるが、CISA は全ての組織に対して、さらなる悪用の試みを阻止するために、これらのバグに優先的に対処することも強く求めている。
今日に CISA は、「この種の脆弱性は、脅威アクターにとって一般的な攻撃ベクターであり、連邦政府企業にとって重大なリスクとなる」と警告している。
なお、Google Threat Analysis Group (TAG) が明らかにした、Android/iOS のモバイルデバイスに商用スパイウェアを展開する、最近の攻撃で悪用されているゼロデイ脆弱性にもパッチを提供するよう、 3月30日付で CISA は連邦機関に命じている。
NATO 諸国に対するロシアの APT からの攻撃で、Zimbra の脆弱性 CVE-2022-27926 が悪用されたとのことです。お隣のキュレーション・チームに来てみたところ、この脆弱性は 2022年5月4日にレポートされている、1年ほど前のものだとのことです。それが、Winter Vivern (TA473) に悪用され、CISA KEV に登録されました。Zimbra に関するトピックは、2023年に入ってから初めてのものとなります。よろしければ、Zimbra で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.