Son Gelişmelerin Özeti
Çin merkezli bir tehdit grubu, ABD ve Kanada’daki üniversitelerin fizik ve mühendislik bölümlerine ait Roundcube webmail yazılımını hedef alarak yeni bir kampanya başlattı. Bu saldırılar, kritik güvenlik açıklarını (örneğin, CVE-2024-42009) kullanarak kimlik bilgilerini çalmayı ve daha sonra kalıcı erişim için web shell dağıtmayı içermektedir.
Saldırı Nasıl Çalışıyor?
Bu saldırıların temelinde, artık yamalanmış olan açık kaynaklı e-posta çözümündeki zafiyetler yer alıyor. Özellikle:
- CVE-2024-42009 (CVSS puanı: 9.3)
- CVE-2025-49113 (CVSS puanı: 9.9)
Ayrıca, saldırganlar Roundcube istemcisinde yalnızca e-postayı açmak suretiyle erişim elde etmekte ve kurbanın tarayıcı bağlamında rastgele JavaScript kodu çalıştırmaktadır. Saldırganların, kampanya öncesinde hedeflerine dair bilgi topladığı ve ardından bu bilgilere dayanarak oltalama e-postaları gönderdiği değerlendirilmektedir.
Etkilenen Sistemler
Saldırılar, özellikle aşağıdaki alanlar üzerinde yoğunlaşmıştır:
- Ulusal güvenlik bağları olan üniversite bölümleri
- Astrofizik ve parçacık fiziği gibi alanlarda çalışan araştırmacılar
Saldırganlar, sistemleri belirli nedenlerden ötürü hedef almak amacıyla bilgi toplamakta ve bu süreçte genel oltalama taktikleri kullanmaktadır.
Çözüm ve Korunma
Bu tür tehditlere karşı etkin bir savunma için şu adımlar atılmalıdır:
- Roundcube yazılımının en son sürümüne güncellenmesi gerekmektedir.
- Kimlik bilgisi ve iki faktörlü kimlik doğrulama (2FA) bilgilerini sık sık güncellemelisiniz.
- Çok katmanlı güvenlik çözümleri ile sunucularınızı koruma altına almalısınız.
Ayrıca, DMARC politikalarının sıkı bir şekilde uygulanması, sahte e-posta (spoofing) girişimlerini minimize edecektir.
Sonuç ve Öneriler
Kullanıcılar, sistemlerinin güvenliğini sağlamak amacıyla Roundcube yazılımlarını derhal güncellemeli ve potansiyel zararlardan korunmak adına e-posta güvenliği stratejilerini gözden geçirmelidir. Portları kapatmak ve e-posta sunucusu güvenlik politikalarını sıkılaştırmak da hayati önem taşımaktadır. Unutmayın, e-posta teslimatı, sunucu ihlallerine yol açabilir, bu nedenle e-posta sunucularınızın güvenliğine aynı derecede önem verin.


