ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü katma onun için iki kusur Bilinen Sömürülen Güvenlik Açıkları Kataloğuaktif sömürü kanıtlarına atıfta bulunarak.
İki yüksek önem düzeyi sorunu, etkilenen e-posta sunucularında kimliği doğrulanmamış uzaktan kod yürütülmesini sağlamak için zincirlenebilecek olan Zimbra İşbirliğindeki zayıflıklarla ilgilidir –
- CVE-2022-27925 (CVSS puanı: 7.2) – Kimliği doğrulanmış kullanıcıdan mboximport aracılığıyla uzaktan kod yürütme (RCE) versiyonlar 8.8.15 Yama 31 ve 9.0.0 Yama 24 Mart’ta yayınlandı)
- CVE-2022-37042 – MailboxImportServlet’te kimlik doğrulama atlaması (düzeltildi versiyonlar 8.8.15 Yama 33 ve 9.0.0 Yama 26 Ağustos’ta yayınlandı)
“Zimbra 8.8.15 yama 33 veya Zimbra 9.0.0 yama 26’dan daha eski bir Zimbra sürümü kullanıyorsanız, mümkün olan en kısa sürede en son yamaya güncellemelisiniz.” uyardı bu haftanın başlarında.
CISA, kusurları kullanan saldırılar hakkında herhangi bir bilgi paylaşmadı, ancak siber güvenlik firması Volexity tarif Bilinmeyen bir tehdit aktörü tarafından Zimbra örneklerinin vahşi doğada kitlesel olarak sömürülmesi.
Özetle, saldırılar, rastgele dosyalar yükleyerek temel sunucuda uzaktan kod yürütme elde etmek için yukarıda belirtilen kimlik doğrulama atlama kusurundan yararlanmayı içerir.
Volexity, “CVE-2022-27925 tarafından kullanılan aynı uç noktaya (mboximport) erişilirken kimlik doğrulamasının atlanmasının mümkün olduğunu” ve kusurun “geçerli yönetici kimlik bilgileri olmadan yararlanılabileceğini ve böylece güvenlik açığının önem derecesini önemli ölçüde daha kritik hale getirebileceğini” söyledi.
Ayrıca, bazıları devlet dairelerine ve bakanlıklara ait olan, bu saldırı vektörü kullanılarak arka kapıya kapatılan ve güvenliği ihlal edilen dünya çapında 1.000’den fazla örneği seçti; askeri şubeler; ve milyarlarca dolarlık geliri olan şirketler.
Haziran 2022’nin sonunda ortaya çıkan saldırılar, virüslü sunuculara uzun vadeli erişimi sürdürmek için web kabuklarının dağıtımını da içeriyordu. En fazla güvenlik açığı bulunan örneklere sahip ülkeler arasında ABD, İtalya, Almanya, Fransa, Hindistan, Rusya, Endonezya, İsviçre, İspanya ve Polonya yer alıyor.
Volexity, “CVE-2022-27925, başlangıçta kimlik doğrulama gerektiren bir RCE istismarı olarak listelendi” dedi. “Ancak, ayrı bir hatayla birleştirildiğinde, uzaktan istismarı önemsiz hale getiren, kimliği doğrulanmamış bir RCE istismarı haline geldi.”
Açıklama, CISA’nın kataloğa Zimbra ile ilgili başka bir hata olan CVE-2022-27924’ü eklemesinden bir hafta sonra geldi ve bu hata istismar edilirse saldırganların hedeflenen örneklerin kullanıcılarından açık metin kimlik bilgilerini çalmasına izin verebilir.