Архив метки: Zimbra

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Добавить комментарий

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно

Если об эксплуатации уязвимости никто не пишет в паблике, это ещё не значит, что об эксплуатации никому не известно. Исследователи могут и молчать. 😉 В продолжение темы про недоисследованные уязвимости хочется обратить внимание на последний кейс с XSS уязвимостями в MDaemon и Zimbra. Эти уязвимости были устранены в ноябре и феврале 2024 года. У них были "средний" CVSS: 5.3 и 6.1. Тип уязвимости XSS также не является супер-критичным. Не было никаких причин приоритизировать исправление этих уязвимостей.

ПРИ ЭТОМ исследователи ESET ещё в 2024 году знали, что эти уязвимости эксплуатируются в атаках. Они сами наблюдали эту эксплуатацию. И они просто МОЛЧАЛИ до 15 мая 2025 года. Как минимум 5,5 месяцев они не выдавали информацию, которая могла бы повысить приоритет устранения этих уязвимостей и защитить пользователей от атак. Ни вендорам не сообщали, ни в CISA KEV. 🤷‍♂️

Так что не ждите сообщений об атаках - обновляйтесь при первой возможности!

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)

Добавить комментарий

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443)

Про уязвимость Cross Site Scripting - Zimbra Collaboration (CVE-2024-27443). Zimbra Collaboration - пакет ПО для совместной работы, включающий сервер электронной почты и веб-клиент. Злоумышленник может отправить электронное письмо, содержащее специально созданный заголовок календаря со встроенной полезной нагрузкой. Если пользователь откроет письмо в классическом веб-интерфейсе Zimbra, зловредный JavaScript-код выполнится в контексте окна веб-браузера.

Уязвимость была исправлена вендором 28 февраля 2024 года. Как и в случае с уязвимостью MDaemon, об эксплуатации уязвимости в атаках сообщили исследователи ESET (операция "RoundPress"). О дате обнаружения атак сообщили, что это было в 2024 году и уже после выпуска патча. Зловредный код позволял злоумышленникам красть учетные данные, извлекать контакты и настройки, получать доступ к сообщениям электронной почты.

Информацию об атаках и PoC эксплоита ESET опубликовали только 15 мая 2025 года. 🤷‍♂️ С 19 мая уязвимость в CISA KEV.

Вчера на Код ИБ был интересный вопрос про единственный трендовый Cross Site Scripting

Добавить комментарий

Вчера на Код ИБ был интересный вопрос про единственный трендовый Cross Site Scripting

Вчера на Код ИБ был интересный вопрос про единственный трендовый Cross Site Scripting. Это уязвимость в Zimbra Collaboration (CVE-2023-37580).

"Zimbra Collaboration (ZCS) 8 before 8.8.15 Patch 41 allows XSS in the Zimbra Classic Web Client."

В случае реализации атаки, злоумышленник выполнит вредоносные сценарии в веб-браузере жертвы.

ZCS можно описать как аналог MS Exchange, Google Docs и Google Apps. Компонент Zimbra Web Client - веб-клиент для работы с электронной почтой, групповыми календарями и т.д. Продукт коммерческий, но есть и бесплатная open source версия.

Согласно отчёту группы анализа угроз Google (TAG) уязвимость использовали для кражи данных электронной почты, учётных данных пользователей и токенов аутентификации в атаках на гос. учреждения 5 стран.

Есть все признаки 🟥 трендовости:

🔹 эксплуатация вживую с существенным импактом
🔹 есть PoC в статье TAG
🔹 достаточно популярный в наших широтах продукт, можно поискать "Вход в веб-клиент Zimbra"