Saldırganlar, Zimbra’nın kısa süre önce SMTP sunucusunda açıkladığı ciddi bir uzaktan kod yürütme güvenlik açığını aktif olarak hedef alıyor ve bu da etkilenen kuruluşların güvenlik açığı bulunan örnekleri hemen düzeltme aciliyetini artırıyor.
Şu şekilde tanımlanan hata: CVE-2024-45519e-posta günlük kaydı ve arşivleme için Zimbra günlük sonrası hizmet bileşeninde mevcuttur. Kimliği doğrulanmamış uzaktaki bir saldırganın, savunmasız bir sistemde rastgele komutlar yürütmesine ve sistemin kontrolünü ele geçirmesine olanak tanır. Zimbra güncellemeler yayınladı Geçen hafta etkilenen sürümler için ancak şu ana kadar kusurla ilgili herhangi bir ayrıntı yayınlamadı.
Saldırılar 28 Eylül’de Başladı
Proofpoint’teki araştırmacılar bu hafta 28 Eylül’den itibaren kusuru hedef alan saldırıların gözlemlendiğini ve bu saldırıların hız kesmeden devam ettiğini bildirdi. bir X’teki bir dizi gönderiGüvenlik sağlayıcısı, saldırganların Gmail’den geliyormuş gibi görünen sahte e-postaları savunmasız Zimbra sunucularına gönderdiklerini açıkladı. E-postalar, CC alanında normal e-posta adresleri yerine base64 kodlu kötü amaçlı kod içeriyor. Bu kod, Zimbra’yı normal bir e-posta adresi olarak işlemek yerine onu kabuk komutları olarak çalıştırması için kandırmak amacıyla hazırlanmıştır. Proofpoint, bu tekniğin potansiyel olarak saldırganların etkilenen Zimbra sunucularında yetkisiz komutlar yürütmesine izin verebileceğini söyledi.
Proofpoint, “Aynı gönderenden gelen bazı e-postalar, savunmasız bir Zimbra sunucusu üzerinde bir Web kabuğu oluşturmaya çalışan bir dizi CC’d adresi kullandı” dedi. “CC listesinin tamamı bir dize olarak sarılır ve base64 blobları birleştirilirse, bir Web kabuğu yazma komutunun kodunu çözerler.”
Web kabuğu, saldırganın özel hazırlanmış HTTP istekleri aracılığıyla sunucuya uzaktan erişmesine, dosyaları değiştirmesine, hassas verilere erişmesine ve diğer isteğe bağlı komutları yürütmesine olanak tanır. Proofpoint, saldırganların bunu savunmasız bir sisteme kötü amaçlı kod indirmek ve çalıştırmak için kullanabileceğini söyledi. Satıcı, “Kurulduktan sonra web kabuğu, önceden belirlenmiş bir JSESSIONID Çerez alanıyla gelen bağlantıyı dinler” dedi. “Varsa, web kabuğu base64 komutları için JACTION çerezini ayrıştıracaktır. Web kabuğu, exec yoluyla komut yürütme veya bir soket bağlantısı üzerinden bir dosyayı indirip yürütme desteğine sahiptir.”
Dün Yama
HarfangLab’da tehdit araştırmacısı olan Ivan Kwiatkowski, kötü amaçlı e-postaların 79.124.49 adresinden geldiğini söyledi.[.]86, Bulgaristan’da bulunuyor gibi görünüyor. “Eğer kullanıyorsanız @ZimbraCVE-2024-45519’un toplu kullanımı başladı. Dün yama.”
Proofpoint tehdit araştırmacısı Greg Lesnewich, tehdit aktörünün istismar e-postalarını göndermek ve ikinci aşama yükünü barındırmak için aynı sunucuyu kullandığını ve bunun da nispeten olgunlaşmamış bir operasyona işaret ettiğini söylüyor. Lesnewich, “Bu, aktörün, istismar e-postaları göndermek ve başarılı bir istismardan sonra enfeksiyonlarla başa çıkmak için dağıtılmış bir altyapıya sahip olmadığı gerçeğini ifade ediyor” diyor. “Daha olgun bir operasyonda e-posta sunucusunun ve veri yükü sunucularının farklı varlıklar olmasını beklerdik.”
Lesnewich, saldırıların hacminin geçen hafta başladığından bu yana hemen hemen aynı kaldığını ve doğası gereği hedeflenenden daha fırsatçı göründüğünü söylüyor.
Giriş Temizleme HatasıR
Açık kaynak Project Discovery’deki araştırmacılar, 27 Eylül’de güvenlik açığına ilişkin bir kavram kanıtı yayınladı. sorunu belirledi kullanıcı girişinin uygun şekilde sterilize edilememesinden kaynaklanıyor ve bu da saldırganların keyfi komutlar vermesine olanak tanıyor. Araştırmacılar, Zimbra’nın yazılımın yamalı versiyonlarının sorunu çözdüğünü ve doğrudan komut enjeksiyonu yeteneğini etkisiz hale getirdiğini yazdı. Yine de “yöneticilerin en son yamaları hemen uygulamalarının hayati önem taşıdığını” belirttiler. “Ayrıca mynetworks parametresinin anlaşılması ve doğru şekilde yapılandırılması çok önemlidir, çünkü yanlış yapılandırmalar hizmeti harici istismara maruz bırakabilir.”
Binlerce şirket ve milyonlarca kullanıcı e-posta, takvim, sohbet ve video hizmetleri için Zimbra Collaboration Suite’i kullanıyor. Popülerliği, teknolojiyi saldırganlar için büyük bir hedef haline getirdi. Örneğin geçen yıl araştırmacılar, Zimbra sıfır gün sisteminden yararlanan dört kadar Çinli gelişmiş kalıcı tehdit aktörünün bulunduğunu tespit etti (CVE-2023-37580) dünya çapındaki devlet kurumlarını hedeflemek. Zimbra, saldırıların başlamasından bir ay sonra Temmuz 2023’te kusuru yamaladı. Geçen Şubat ayında, W Labs’taki araştırmacılar Kuzey Kore’nin üretken Lazarus Grubunu tespit etti istihbarat çalmaya çalışmak hedeflenen yamasız Zimbra sunucuları ile sağlık ve enerji sektörlerindeki kuruluşlardan.
