APT28’in Zimbra Güvenlik Açığından Yararlanması
APT28 olarak bilinen ve Rusya’nın askeri istihbarat servisine (GRU) bağlı bir devlet destekli tehdit grubunun, Zimbra Collaboration Suite (ZCS) yazılımındaki bir güvenlik açığını kullanarak Ukrayna hükümetine yönelik saldırılar gerçekleştirdiği tespit edilmiştir. Bu yüksek önem dereceli güvenlik açığı, uzaktan kod yürütmesine (RCE) yol açarak Zimbra sunucusunu ve hedefin e-posta hesabını tehlikeye atmaktadır.
Saldırı Nasıl Çalışıyor?
Bu güvenlik açığı, CVE-2025-66376 olarak izlenmekte ve Kasım 2025’te yayımlanan bir yamanın ardından düzeltilmiştir. Açığın temel nedeni, kimlik doğrulaması yapılmamış saldırganların uzaktan kod yürütme (RCE) sağladığı bir saklanan çapraz site betikleme (XSS) zafiyetidir. Saldırılar, şu şekildedir:
- Açık bir Zimbra webmail oturumunda hedef e-postanın açılması ile tetiklenir.
- JavaScript yüklü zararlı bir yük, e-postanın HTML gövdesinden otomatik olarak yürütülür.
- Saldırgan, kurbanın kimlik bilgilerini, oturum belirteçlerini ve tarayıcıda saklanan şifreleri ele geçirir.
Seqrite Labs araştırmacıları, saldırının yalnızca bir e-posta HTML’si içinde gerçekleştiğini ve herhangi bir zararlı ek veya şüpheli bağlantı içermediğini vurgulamaktadır.
Etkilenen Sistemler
Zimbra yazılımı, dünya genelinde yüz milyonlarca kullanıcı tarafından kullanılmaktadır ve pek çok hükümet kurumu ile işletme tarafından tercih edilmektedir. Aşağıdaki gruplar, bu zafiyetin hedefi olma riski taşıyan sistemler arasındadır:
- Ukrayna devlet kurumları, özellikle kritik altyapı hizmeti sağlayanlar.
- NATO ile uyumlu organizasyonlar ve bağlantılı bireyler.
- Gerçekleştirilen siber saldırılara maruz kalan diğer devlet departmanları ve özel sektördeki işletmeler.
Çözüm ve Korunma
CISA, ilgili zafiyetin duyurulmasının ardından, federal sivil yürütme dairelerindeki (FCEB) kuruluşların sunucularını iki hafta içinde güvence altına almasını şart koşmuştur. Bu bağlamda, aşağıdaki önlemler alınmalıdır:
- Zimbra yazılımını en güncel versiyona şu adresten güncelleyin: 10.1.13 ve 10.0.18.
- Güvenlik duvarlarında belgelenmemiş kaynaklardan gelen bağlantıları engelleyin.
- E-posta sistemleri için ek güvenlik önlemleri uygulayın, örneğin çok faktörlü kimlik doğrulama (MFA) gibi.
Sonuç
Kullanıcılar ve sistem yöneticileri, Zimbra yazılımını derhal güncelleyerek veya sistemdeki kullanılmayan portları kapatarak bu tehditten korunmalıdır. Ayrıca, şüpheli e-postalara karşı dikkatli olmak ve güvenlik önlemlerini güncel tutmak gerekmektedir.
