상세 컨텐츠

본문 제목

Zimbra 제로데이 취약점, 이메일 훔치는데 활발히 악용돼

국내외 보안동향

by 알약4 2022. 2. 4. 09:00

본문

Zimbra zero-day vulnerability actively exploited to steal emails

 

Zimbra 이메일 플랫폼의 XSS 취약점이 현재 유럽 언론 및 정부 기관을 노린 공격에 적극적으로 악용되고 있습니다.

 

Zimbra는 인스턴트 메시징, 연락처, 화상 회의, 파일 공유, 클라우드 스토리지 기능을 포함하는 이메일 및 협업 플랫폼입니다.

 

Zimbra에 따르면 140개국 이상의 기업 20만곳 이상에서 이 소프트웨어를 사용하고 있으며, 이 중 1천곳 이상은 정부 및 금융기관인 것으로 나타났습니다.

 

중국 공격자와 연결돼

 

연구원들은 아래와 같이 밝혔습니다.

 

"이 글을 작성하는 시점에서 이 익스플로잇은 패치되지 않은 상태이며 CVE 번호가 할당되지 않았습니다.(제로데이 취약점)”

 

"Volexity는 테스트를 통해 최신 버전의 Zimbra(8.8.15 P29, P30)가 여전히 취약한 상태임을 확인했습니다. 버전 9.0.0을 테스트한 결과 이에 영향을 받지 않는 것으로 보입니다.”

 

Volexity는 현재까지 스피어 피싱 캠페인을 통해 이메일을 훔치기 위해 제로데이를 악용하는 공격자가 이전에 알려지지 않은 TEMP_Heretic(중국인으로 추정됨)인 것으로 확인했다고 밝혔습니다.

 

공격자는 해당 취약점을 악용해 사용자의 Zimbra 웹메일 세션으로 아래의 악성 공격을 실행할 수 있습니다.

 

사서함에 지속적으로 접근하기 위한 쿠키 추출

사용자의 연락처에 피싱 메시지 전송

신뢰할 수 있는 웹 사이트에서 맬웨어를 다운로드하라는 메시지 표시

 

이메일 탈취에 제로데이 악용돼

 

Volexity는 지난 12월 악용이 시작된 이후 TEMP_Heretic이 원격 이미지가 포함된 정찰 이메일을 통해 살아있는 이메일 주소를 확인하는 것을 보았습니다.

 

다음 공격 단계에서는 202112월 여러 차례에 걸쳐 악성 링크 및 다양한 주제(인터뷰 요청, 자선 경매 초대, 연하장 등)가 포함된 스피어 피싱 이메일을 보냈습니다.

 

"사용자가 악성 링크를 클릭할 경우, 공격자는 사용자를 타깃 조직의 Zimbra 웹메일 호스트에 존재하는 페이지로 이동시키려 시도합니다. 해당 페이지는 사용자가 로그인한 경우 공격자가 로그인된 Zimbra 세션의 콘텍스트에서 임의 JavaScript 파일을 로드하도록 허용하는 취약점을 악용하는 특정 URI 포맷을 포함하고 있습니다.”

 

공격자는 이 악성코드를 통해 피해자의 메일함에 있는 이메일을 살펴보고, 공격자가 제어하는 ​​서버로 이메일 내용 및 첨부 파일을 유출할 수 있었습니다.

 

 

<이미지 출처 : https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/>

<Zimbra 제로데이 공격 플로우>

 

 

"이 글을 쓰는 현재 이 취약점에 대한 공식 패치나 해결법은 없습니다. Volexity Zimbra 측에 해당 익스플로잇에 대해 알렸으며, 패치가 곧 제공되기를 바랍니다.”

 

"BinaryEdge 데이터에 따르면, 서버 약 33,000대에서 Zimbra 이메일 서버를 실행하고 있는 것으로 확인되지만 실제 숫자는 더 높을 것으로 보입니다."

 

Volexity는 이 제로데이를 악용하는 공격을 차단하기 위해 아래 조치를 취할 것을 권장합니다.

 

메일 게이트웨이 및 네트워크 수준에서 모든 IoC를 차단해야 합니다.

의심스러운 액세스 및 참조에 대한 참조 데이터를 분석해야 합니다. 로그의 기본 위치는 /opt/zimbra/log/access*.log입니다.

현재 8.8.15의 보안 버전이 없기 때문에 버전 9.0.0으로 업그레이드할 것을 고려해야 합니다.

 

해당 캠페인(EmailThief)과 관련된 도메인 및 IP 주소를 포함한 침해 지표는 Volexity 보고서의 끝부분에서 확인할 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/zimbra-zero-day-vulnerability-actively-exploited-to-steal-emails/

https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/ (IOC)

 

관련글 더보기

댓글 영역