Hackernews 编译，转载请注明出处：

谷歌的研究人员发现，黑客利用 Zimbra 电子邮件产品的一个漏洞，攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。

谷歌的威胁分析团队在 6 月份首次发现了这个漏洞，编号为 CVE-2023-37580。从 6 月开始，四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration，这是一个许多组织用来托管电子邮件的电子邮件服务器。

该漏洞是一个跨站点脚本(XSS)漏洞，允许黑客向受害者网站注入恶意脚本。

黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序，并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。

谷歌表示，针对希腊政府机构的攻击发生在 6 月 29 日，而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。

在官方补丁发布之前，谷歌观察到有三个威胁组织利用了这个漏洞，其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。

“在官方补丁发布后，我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的，这强调了组织尽快应用修复程序的重要性。”

对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮，黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。

第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为，该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月，该组织被发现利用了一个零日漏洞，影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中，电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。

第三次攻击是针对越南的一个政府组织，黑客试图通过网络钓鱼获取用户凭证。谷歌表示：“在这种情况下，利用 url 指向一个脚本，该脚本显示了一个钓鱼页面，要求用户的 webmail 凭证，并将窃取的凭证发布到一个托管在官方政府域名上的 url 上，攻击者可能会破坏这个域名。”

第四次攻击是针对巴基斯坦的一个政府组织，黑客试图窃取Zimbra认证令牌。

谷歌表示，这些黑客攻击是攻击者如何监控开源存储库的例子，这些存储库发布了漏洞修复程序，但尚未向用户发布。

研究人员补充说，这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后，第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。

他们表示：“邮件服务器中经常出现的跨站攻击漏洞也表明，需要对这些应用程序进行进一步的代码审计，尤其是针对跨站攻击漏洞。”

“我们敦促用户和组织迅速应用补丁，并保持软件的最新状态，以获得全面的保护。”

---

Hackernews 编译，转载请注明出处

消息来源：TheRecord，译者：Serene