Nel giugno 2023, il Threat Analysis Group (TAG) di Google ha scoperto un exploit 0-day in-the-wild che prendeva di mira Zimbra Collaboration, un server di posta elettronica utilizzato da molte organizzazioni per ospitare le loro email. Dopo la scoperta dell’exploit, ora corretto e identificato come CVE-2023-37580, TAG ha osservato quattro diversi gruppi che sfruttavano lo stesso bug per rubare dati email, credenziali utente e token di autenticazione. La maggior parte di questa attività si è verificata dopo che la correzione iniziale è diventata pubblica su Github. Per garantire protezione contro questo tipo di exploit, TAG esorta gli utenti e le organizzazioni a mantenere il software completamente aggiornato e ad applicare gli aggiornamenti di sicurezza non appena diventano disponibili.
Scoperta del 0-Day, Hotfix e Patch
TAG ha scoperto per la prima volta il 0-day, una vulnerabilità di tipo cross-site scripting (XSS) riflesso, a giugno, quando era attivamente sfruttato in attacchi mirati contro il server di posta elettronica di Zimbra. Zimbra ha pubblicato un hotfix sul loro Github pubblico il 5 luglio 2023 e ha pubblicato un avviso iniziale con indicazioni per la correzione il 13 luglio 2023. Hanno corretto la vulnerabilità come CVE-2023-37580 il 25 luglio 2023. TAG ha osservato tre gruppi di minacce che sfruttavano la vulnerabilità prima del rilascio della patch ufficiale, inclusi gruppi che potrebbero aver appreso del bug dopo che la correzione era stata inizialmente resa pubblica su Github. TAG ha scoperto una quarta campagna che utilizzava la vulnerabilità XSS dopo il rilascio della patch ufficiale. Tre di queste campagne sono iniziate dopo che l’hotfix è stato inizialmente reso pubblico, sottolineando l’importanza per le organizzazioni di applicare le correzioni il più rapidamente possibile.