Προτρέποντας τις ομοσπονδιακές υπηρεσίες να αναλάβουν ταχεία δράση, ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) έκρουσε τον κώδωνα του κινδύνου σχετικά με μια ευπάθεια cross-site scripting στο Zimbra Collaboration (ZCS). Το κενό ασφαλείας είχε γίνει αντικείμενο εκμετάλλευσης από Ρώσους hackers για την απόκτηση πρόσβασης σε emails από χώρες του ΝΑΤΟ.
Η ευπάθεια CVE-2022-27926 χρησιμοποιήθηκε από μια ρωσική hacking ομάδα, την Winter Vivern, με στόχο να διεισδύσει στα webmail portals πολλών χωρών του ΝΑΤΟ, προκειμένου να αποκτήσει πρόσβαση στα μηνύματα ηλεκτρονικού ταχυδρομείου κυβερνητικών αξιωματούχων, στρατιωτικού προσωπικού, διπλωματών και άλλων αξιωματούχων.
Δείτε επίσης: Η κυβερνοεπίθεση στην Capita διέκοψε την πρόσβαση στα Microsoft Office 365 apps
Το κακόβουλο σχέδιο της Winter Vivern ξεκινά με τη χρήση του Acunetix, ενός σαρωτή ευπαθειών που βοηθά στον εντοπισμό ευάλωτων ZCS servers. Στη συνέχεια, αποστέλλονται phishing emails που μιμούνται γνωστές επαφές, προκειμένου να εξαπατήσουν ανυποψίαστους χρήστες.
Mark Zuckerberg: Ο δεύτερος πλουσιότερος άνθρωπος
Ένα «νέο αστέρι» φωτίζεται στο νυχτερινό ουρανό
Mark Zuckerberg: Έγινε ο δεύτερος πλουσιότερος άνθρωπος! 💰💰
Κάθε μήνυμα ηλεκτρονικού ταχυδρομείου δρομολογούσε τα θύματα σε κακόβουλους servers που ελέγχονται από τους επιτιθέμενους και εκμεταλλεύονται την ευπάθεια CVE-2022-27926 ή προσπαθούν να εξαπατήσουν τα άτομα να δώσουν τα credentials τους.
Κατά τη στόχευση με ένα exploit, οι διευθύνσεις URL περιέχουν επίσης ένα JavaScript snippet που θα κατεβάσει ένα payload δεύτερου σταδίου για να ξεκινήσει μια επίθεση Cross-Site Request Forgery (CSRF). Στόχος είναι η κλοπή των credentials χρηστών Zimbra και η κλοπή CSRF tokens.
Στη συνέχεια, οι φορείς απειλών χρησιμοποιούν τα κλεμμένα credentials για να λάβουν ευαίσθητες πληροφορίες από τους παραβιασμένους λογαριασμούς ηλεκτρονικού ταχυδρομείου ή να διατηρήσουν persistence για να συνεχίσουν να παρακολουθούν τα emails που ανταλλάσσονται.
Δείτε επίσης: Western Digital: Ανακοίνωσε παραβίαση δικτύου
Οι hackers μπορούν επίσης να αξιοποιήσουν τους παραβιασμένους λογαριασμούς για περισσότερες επιθέσεις phishing και για να επεκτείνουν τη διείσδυσή τους σε στοχευμένους οργανισμούς.
Οι ομοσπονδιακές υπηρεσίες πρέπει να εφαρμόσουν patch μέχρι τις 24 Απριλίου
Η CISA συμπεριέλαβε την ευπάθεια στον κατάλογο KEV (Known Exploited Vulnerabilities), ένα αρχείο με ευπάθειες ασφάλειας που είναι γνωστό ότι αξιοποιούνται ενεργά από εγκληματίες του κυβερνοχώρου.
Σύμφωνα με ένα binding operational directive (BOD 22-01) που εκδόθηκε από την υπηρεσία κυβερνοασφάλειας των ΗΠΑ τον Νοέμβριο του 2021, οι υπηρεσίες Federal Civilian Executive Branch Agencies (FCEB) πρέπει να επιδιορθώνουν τα ευάλωτα συστήματα στα δίκτυά τους έναντι των σφαλμάτων που προστίθενται στη λίστα KEV.
Η CISA έδωσε προθεσμία τριών εβδομάδων (έως τις 24 Απριλίου) σε αυτές τις υπηρεσίες, για να προστατεύσουν τα δίκτυά τους από πιθανές απειλές που εκμεταλλεύονται την ευπάθεια CVE-2022-27926.
Επιπλέον, προέτρεψε και όλες τις άλλες οντότητες να δώσουν προτεραιότητα στην επίλυση αυτού του σφάλματος, καθώς υποστηρίζει ότι “αυτοί οι τύποι ευπαθειών θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση“.
Δείτε επίσης: Το malware OpcJacker που κλέβει crypto στοχεύει χρήστες με fake υπηρεσία VPN
Την Πέμπτη, η CISA διέταξε επίσης τις ομοσπονδιακές υπηρεσίες να επιδιορθώσουν ευπάθειες που χρησιμοποιήθηκαν ως zero-days σε πρόσφατες επιθέσεις για την ανάπτυξη εμπορικού spyware σε κινητές συσκευές Android και iOS.
Στον σημερινό κόσμο, όπου τα πάντα είναι συνδεδεμένα μέσω του Διαδικτύου, η εκμετάλλευση ευπαθειών έχει γίνει μια κοινή πρακτική για τους εγκληματίες του κυβερνοχώρου. Οι συνέπειες της εκμετάλλευσης τρωτών σημείων μπορεί να είναι καταστροφικές τόσο για άτομα όσο και για οργανισμούς.
Πηγή: www.bleepingcomputer.com