Uma falha de zero day no software de e-mail Zimbra Collaboration foi explorada por quatro grupos diferentes em ataques reais para roubar dados de e-mail, credenciais de usuários e tokens de autenticação.

O Google Threat Analysis Group (TAG) relatou que a maior parte dessa atividade ocorreu após a divulgação inicial da correção no GitHub. A falha, identificada como CVE-2023-37580, é uma vulnerabilidade de cross-site scripting (XSS) refletida que afeta versões anteriores à 8.8.15.

A Zimbra abordou essa falha em patches lançados em 25 de julho de 2023. A exploração bem-sucedida dessa falha poderia permitir a execução de scripts maliciosos no navegador da web das vítimas, simplesmente enganando-as para clicar em uma URL especialmente criada, efetivamente iniciando a solicitação XSS para o Zimbra e refletindo o ataque de volta ao usuário.

O TAG do Google, cujo pesquisador Clément Lecigne foi creditado pela descoberta e relato do bug, descobriu várias ondas de campanhas a partir de 29 de junho de 2023, pelo menos duas semanas antes da Zimbra emitir um aviso.

Três das quatro campanhas foram observadas antes do lançamento do patch, com a quarta campanha detectada um mês após a publicação das correções.

A descoberta de pelo menos quatro campanhas explorando a CVE-2023-37580, três delas após a falha se tornar pública, demonstra a importância de as organizações aplicarem correções em seus servidores de e-mail o mais rápido possível.

Essas campanhas também destacam como os atacantes monitoram repositórios de código aberto para explorar oportunisticamente vulnerabilidades onde a correção está no repositório, mas ainda não foi lançada para os usuários.