De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) uitgebreid in de catalogus met bekende exploits van kwetsbaarheden om een recent onthulde zero-day-fout in het e-mailplatform van Zimbra op te nemen met bewijs van actieve exploitatie in het wild.
Bijgehouden als CVE-2022-24682 (CVSS-score: 6,1), het probleem betreft een cross-site scripting (XSS)-kwetsbaarheid in de Agenda-functie in Zimbra Collaboration Suite die door een aanvaller kan worden misbruikt om gebruikers te misleiden tot het downloaden van willekeurige JavaScript-code door simpelweg op een link te klikken om URL’s te misbruiken bij phishingberichten.
De catalogus met bekende misbruikte kwetsbaarheden is een opslagplaats van beveiligingsfouten die zijn misbruikt door dreigingsactoren bij aanvallen en die moeten worden verholpen door agentschappen van de Federal Civilian Executive Branch (FCEB).
De kwetsbaarheid kwam aan het licht op 3 februari 2022, toen cyberbeveiligingsbedrijf Volexity een reeks gerichte spear-phishing-campagnes identificeerde gericht op Europese overheid en media-entiteiten die gebruik maakten van de bovengenoemde fout om ongeautoriseerde toegang te krijgen tot de mailboxen van het slachtoffer en malware te installeren.
Volexity volgt de acteur onder de naam “TEMP_HERETIC”, waarbij de aanvallen gevolgen hebben voor de open-source-editie van Zimbra met versie 8.8.15. Zimbra heeft sindsdien geduwd een hotfix uit (versie 8.8.15 P30) om de fout te herstellen.
Vanwege de mogelijke impact van dit beveiligingslek heeft CISA federale agentschappen tot 11 maart 2022 de tijd gegeven om de beveiligingsupdates toe te passen. Naast CVE-2022-24682 heeft CISA ook de volgende drie kwetsbaarheden aan de catalogus toegevoegd:
- CVE-2017-8570 (CVSS-score: 7,8) – Kwetsbaarheid bij uitvoering van externe code van Microsoft Office
- CVE-2017-0222 (CVSS-score: 7,5) – Beveiligingslek met betrekking tot geheugencorruptie in Microsoft Internet Explorer
- CVE-2014-6352 (CVSS-score: n.v.t.) – Kwetsbaarheid van Microsoft Windows Code-injectie
