Zimbra Collaboration Suite, bir aydan uzun bir süre sıfır gün güvenlik açığı taşıdı ve bilgisayar korsanlarına neredeyse 900 sunucuyla sonuçlanan gerçek bir saha günü sundu. (yeni sekmede açılır) hackleniyor.
Kaspersky’deki araştırmacılar, güvenlik açığının Zimbra forumunda rapor edildiğini ve ardından her türlü gelişmiş kalıcı tehdit (APT) grubunun sayısız sunucuyu tehlikeye atmak için bundan yararlandığını belirtti.
Kaspersky, kusuru, tehdit aktörlerinin bir antivirüs alarmını tetiklemeden Zimbra sunucusunda bir web kabuğu dağıtan kötü amaçlı bir dosya içeren bir e-posta göndermesine olanak tanıyan bir uzaktan kod yürütme güvenlik açığı olarak etiketledi. Artık CVE-2022-41352 olarak izleniyor. Bazı araştırmacılar, sonuç olarak 1.600 kadar sunucunun gerçekten güvenliğinin ihlal edildiğini iddia ediyor.
cpio’yu kullanımdan kaldırıyor
Araştırmacılar daha sonra, bir geçici çözüm paylaşılmadan ve bir yama yayınlanmadan önce en az 876 sunucunun güvenliğinin ihlal edildiğini söyledi. Ancak, ilk rapordan neredeyse iki ay sonra ve Zimbra bir düzeltme yayınlamaya hazırlanırken Volexity, 1600 civarında güvenliği ihlal edilmiş sunucu saydığını söyledi.
Zimbra daha sonra yamayı yayınladı ve işbirliğini getirdi (yeni sekmede açılır) 9.0.0 P27 sürümüne kadar süit. İçinde şirket, hatalı bileşeni (cpio) Pax ile değiştirdi ve sömürülebilir kodu kaldırdı.
İlk saldırılar Eylül 2022’de Hindistan ve Türkiye’deki sunucuları hedef alarak başladı. İlk baskınlar “düşük faizli” hedeflere karşı yapıldı ve araştırmacıların bilgisayar korsanlarının daha kazançlı hedeflere geçmeden önce yalnızca kusurun yeteneklerini test ettiği sonucuna varmalarını sağladı. Ancak, güvenlik açığının kamuya açıklanmasından sonra, tehdit aktörleri, Zimbra bir yama yayınlamadan önce, mümkün olduğu kadar kullanmak için hız kazandı.
Yamayı hemen uygulayamayan sistem yöneticilerinin, güvenlik açığından aktif olarak yararlanan tehdit aktörlerinin sayısı hala yüksek olduğundan, en azından geçici çözüm için yüklemeyi hedeflemeleri isteniyor.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)