이메일 탈취에 악용되는 Zimbra 제로데이 취약점

유럽의 미디어 및 정부 조직을 대상으로 Zimbra의 크로스사이트스크립팅(XSS) 보안 취약점이 활발히 악용되고 있습니다.

Zimbra는 인스턴트 메시지, 화상 회의, 파일 공유 및 클라우드 스토리지 기능을 포함하는 이메일 및 공동 작업 플랫폼이며, 140여개 국가에서 20만여 이상의 기업(1,000개 이상의 정부 및 금융 기관을 포함)이 사용하고 있습니다.

해당 취약점은 Zimbra 8.8.15 및 이전 버전에 영향을 미치며, 현재 8.8.15 p30용 핫픽스를 제공하고 있습니다.

취약점을 이용하면 이메일을 훔치는 것 이외에도 아래와 같은 악의적인 행위를 수행할 수 있습니다.

• 사서함에 대한 지속적인 액세스를 허용하도록 쿠키를 유출
• 사용자의 연락처에 피싱 메시지 보내기
• 신뢰할 수 있는 웹 사이트에서 멀웨어를 다운로드하라는 프롬프트 표시

 

Volexity는 12월에 발견된 취약점 악용 사례에서 중국 위협 행위자로 추정되는 공격자가 원격 이미지가 포함된 정찰 이메일을 사용하여 실시간으로 이메일 주소를 확인하는 것을 발견하였습니다. 이후 공격자는 12월 12일부터 12월 16일까지 여러번에 걸쳐 다양한 주제(인터뷰 요청, 자선 경매 초대, 휴일 인사말)의 악성 링크가 포함된 스피어 피싱 이메일을 보냈습니다.

스피어 피싱 이메일에 포함된 악의적인 링크를 클릭하면 사용자가 Zimbra 웹메일에 로그인했는지 확인한 뒤, 취약점 랜딩페이지로 리다이렉트하여 악성 자바스크립트를 로드합니다. 이후 공격자는 악성코드를 통해 피해자의 사서함에서 이메일을 살펴보고 공격자가 제어하는 서버에 이메일 내용과 첨부 파일을 유출할 수 있었습니다.

 

[그림 1] Zimbra 제로데이 공격 흐름 (출처 :   Volexity .com)

 

현재 BinaryEdge 데이터를 기반으로 확인 시, 약 33,000개의 서버가 Zimbra 전자 메일 서버를 구동하고 있는 것으로 확인되며, 실제로는 이보다 더 많을 수 있습니다.

 

대응 방안

Volexity는 이 제로 데이를 악용하는 공격을 방지하기 위해 다음과 같은 조치를 취할 것을 권고하였습니다.

(1) 메일 게이트웨이 및 네트워크 수준에서 침해지표 차단

관련 침해지표 링크 : https://github.com/volexity/threat-intel/blob/main/2022/2022-02-03%20Operation%20EmailThief/indicators/iocs.csv

(2)Zimbra 로그 확인을 통해 의심스러운 엑세스 확인

Zimbra 로그 기본 경로 : /opt/zimbra/log/access*.log

(3) 핫픽스 패치 적용 및 9.0.0 버전으로 업그레이드

 

(출처 :

https://www.bleepingcomputer.com/news/security/zimbra-zero-day-vulnerability-actively-exploited-to-steal-emails/

https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/)

보안관제센터 MIR Team