Para resolver um dos seus maiores problemas até agora, a Zimbra corrigiu a falha zero-day explorada em ataques XSS.
Duas semanas após a divulgação inicial, a Zimbra lançou atualizações de segurança que corrigem uma vulnerabilidade de dia zero explorada em ataques direcionados aos servidores de e-mail Zimbra Collaboration Suite (ZCS).
Zimbra corrigiu a falha zero-day explorada em ataques XSS
Agora rastreada como CVE-2023-38750, a falha de segurança é um Cross-Site Scripting (XSS) refletido descoberto pelo pesquisador de segurança Clément Lecigne do Google Threat Analysis Group.
Os ataques XSS representam uma ameaça significativa, permitindo que os agentes de ameaças roubem informações confidenciais ou executem códigos maliciosos em sistemas vulneráveis.
Embora Zimbra não tenha indicado que o dia zero também estava sendo explorado quando divulgou a vulnerabilidade pela primeira vez e instou os usuários a corrigi-la manualmente, Maddie Stone do Google TAG revelou que a vulnerabilidade foi descoberta durante a exploração em um ataque direcionado.
“Para manter o mais alto nível de segurança, pedimos sua cooperação para aplicar a correção manualmente em todos os nós de sua caixa de correio”, disse Zimbra na época, pedindo aos administradores que mitigassem o bug de segurança manualmente.
Na quarta-feira, duas semanas após a publicação do comunicado inicial, a empresa lançou o ZCS 10.0.2, uma versão que também corrige o bug CVE-2023-38750, que “pode levar à exposição de arquivos JSP e XML internos”.
Outro bug refletido do Zimbra XSS foi explorado desde pelo menos fevereiro de 2023 pelo grupo de hackers russo Winter Vivern para violar os portais de webmail dos governos alinhados à OTAN e roubar os e-mails de funcionários do governo, militares e diplomatas.
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) alertou as agências federais dos EUA hoje para proteger seus sistemas contra ataques CVE-2023-38750.
A agência adicionou essa vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas(Known Exploited Vulnerabilities catalog, ou CVE), que obriga as Agências do Poder Executivo Civil Federal (FCEB) a corrigir servidores de e-mail ZCS vulneráveis em suas redes de acordo com a diretiva operacional vinculativa (BOD 22-01) emitida em novembro de 2021.
A CISA também estabeleceu um prazo de três semanas para conformidade, ordenando-lhes que mitiguem a falha em todos os dispositivos não corrigidos até 17 de agosto.
Embora o catálogo se concentre principalmente nas agências federais dos EUA, as empresas privadas também são fortemente aconselhadas a priorizar e implementar patches para todas as vulnerabilidades listadas no catálogo de bugs explorados da CISA.
“Esses tipos de vulnerabilidades são vetores de ataque frequentes para cibercriminosos e representam riscos significativos para a empresa federal”, alertou a CISA hoje.
Nesta terça-feira, a CISA também ordenou que as agências federais dos EUA resolvessem um bug de desvio de autenticação no Endpoint Manager Mobile (EPMM) da Ivanti, anteriormente MobileIron Core, que foi usado como um dia zero para hackear uma plataforma de software usada por 12 ministérios noruegueses.