Zimbra’nın sahip olduğu yayınlanan yamalar Kurumsal işbirliği paketinde, savunmasız örneklere rastgele dosyalar yüklemek için kullanılabilecek, aktif olarak yararlanılan bir güvenlik açığı içermek.

CVE-2022-41352 (CVSS puanı: 9.8) olarak izlenen sorun, Zimbra paketinin adı verilen bir bileşenini etkiliyor. Amavisbir açık kaynak içerik filtresi ve daha spesifik olarak, arşivleri taramak ve çıkarmak için kullandığı cpio yardımcı programı.

Kusurun, altta yatan başka bir güvenlik açığından kaynaklandığı söyleniyor (CVE-2015-1197) ilk olarak 2015 yılının başlarında açıklanan Flashpoint’e göre düzeltildi, ancak daha sonra sonraki Linux dağıtımlarında geri alınacak.

Geçen hafta yayınlanan bir danışma belgesinde Zimbra, “Bir saldırgan, diğer kullanıcı hesaplarına yanlış erişim elde etmek için cpio paketini kullanabilir” diyerek, “cpio yerine pax önerir” dedi.

Düzeltmeler aşağıdaki sürümlerde mevcuttur –

Eksikliği silah haline getirmek için arayan bir düşmanın tek yapması gereken, özel olarak hazırlanmış bir TAR arşiv eki içeren bir e-posta göndermektir; bu eklenti alındığında, istismarı tetiklemek için cpio modülünü kullanan Amavis’e gönderilir.

Siber güvenlik şirketi Kaspersky, ifşa Bilinmeyen APT gruplarının, aktörlerden birinin “Orta Asya’daki tüm savunmasız sunuculara sistematik olarak bulaşmasıyla” vahşi doğadaki kusurdan aktif olarak yararlandığını söyledi.

Eylül ayının başlarında ve sonlarında iki saldırı dalgasında ortaya çıkan saldırılar, esas olarak bölgedeki devlet kurumlarını hedef aldı ve sonraki faaliyetler için güvenliği ihlal edilmiş sunuculara web kabukları atmak için ilk dayanağı kötüye kullandı.

Olay müdahale şirketi Volexity tarafından paylaşılan bilgilere dayanarak, kabaca 1.600 Zimbra sunucusunun “hedefli ve fırsatçı saldırıların karışımı” olarak adlandırdığı şekilde enfekte olduğu tahmin ediliyor.

“Bazı web kabuğu yolları […] ağırlıklı olarak Asya’da hükümet, telekomünikasyon ve BT’deki kilit kuruluşların hedeflenen (muhtemelen APT) sömürüsünde kullanıldı; diğerleri dünya çapında büyük bir sömürü için kullanıldı” söz konusu bir dizi tweette.



siber-2