Що сталось
За даними аналітиків кібербезпеки, російська APT-група, яка активно діє проти України, знайшла спосіб використовувати критичну вразливість у популярній платформі для електронної пошти Zimbra. Ця вразливість дозволяє зловмисникам отримувати несанкціонований доступ до систем жертв, використовуючи для цього виключно електронні листи.
Технічні деталі
Вразливість полягає у недостатній санітизації CSS-контенту всередині HTML-листів. Коли такий лист відкривається у веб-браузері, що інтегрований у клієнт Zimbra, спеціально сформований CSS може призвести до виконання вбудованого (inline) скрипта. Це дає зловмисникам можливість виконувати довільний код на пристрої жертви, що може призвести до подальшого компрометування системи, викрадення даних або розгортання шкідливого програмного забезпечення.
Кому загрожує
Основною мішенню цієї атаки є українські організації, що використовують платформу Zimbra для корпоративної комунікації. Це можуть бути як державні установи, так і приватні компанії, що працюють у критичних секторах економіки. Зважаючи на геополітичну ситуацію, подібні атаки є частиною ширшої кампанії з дестабілізації та шпигунства.
Рекомендації
Для захисту від подібних загроз рекомендовано вжити наступних заходів:
- Негайно оновити програмне забезпечення Zimbra до останньої версії, яка містить виправлення для цієї вразливості.
- Провести аудит конфігурації поштових серверів та клієнтів для виявлення потенційних слабких місць.
- Навчити користувачів розпізнавати підозрілі листи та не відкривати вкладення чи посилання від невідомих відправників.
- Впровадити або посилити засоби захисту електронної пошти, такі як спам-фільтри та антивірусний захист.
- Розглянути можливість використання додаткових механізмів автентифікації електронних листів (SPF, DKIM, DMARC).
