CISA, ABD hükümetine ait ajansların, Zimbra Collaboration Suite (ZCS) içindeki aktif bir güvenlik açığına karşı sunucularını güvence altına almalarını emretti. Zimbra, dünya genelinde yüz milyonlarca kişi tarafından kullanılan ve birçok işletme ile hükümet ajansı tarafından tercih edilen popüler bir e-posta ve işbirliği yazılımıdır.
Açıkların Tanımlanması
Bu zafiyet, CVE-2025-66376 olarak takip edilmekte olup, Kasım 2025’in başlarında düzeltme yayımlanmıştır. Yüksek şiddetteki bu güvenlik açığı, Classic UI’deki saklı bir cross-site scripting (XSS) zayıf noktasından kaynaklanmakta, uzaktaki kimliği doğrulanmamış saldırganların e-posta HTML’inde Cascading Style Sheets (CSS) @import yönergelerini kötüye kullanarak istismar etmelerine olanak tanımaktadır.
Synacor (Zimbra’nın arkasındaki şirket) başarılı bir CVE-2025-66376 saldırısının etkileri hakkında herhangi bir detay paylaşmadı. Ancak, bu açığın kötü niyetli HTML tabanlı e-postalar aracılığıyla rastgele JavaScript çalıştırmak için istismar edilebileceği ve böylelikle saldırganların kullanıcı oturumlarını ele geçirip hassas verileri çalabileceği düşünülmektedir.
CISA, bu zafiyeti, Çarşamba günü “doğada istismar edilen güvenlik açıkları” kataloğuna eklemiş ve Federal Civilian Executive Branch (FCEB) ajanslarına sunucularını güvence altına almaları için 1 Nisan tarihine kadar iki hafta tanımıştır. Bu, Kasım 2021’de yayımlanan Binding Operational Directive (BOD) 22-01 doğrultusunda bir gerekliliktir.
BOD 22-01 yalnızca federal ajanslara uygulanıyor olsa da, ABD siber güvenlik ajansı, özel sektördeki tüm kuruluşların bu aktif olarak istismar edilen açığı bir an önce yamalamasını teşvik etmektedir.
Saldırı Nasıl Çalışıyor?
CISA, “Tedarikçi talimatlarına göre önlemler alın, bulut hizmetleri için geçerli olan BOD 22-01 rehberliğini izleyin veya önlemler mevcut değilse ürünün kullanımını durdurun,” uyarısında bulundu. “Bu tür zayıflıklar, kötü niyetli siber aktörler için sıkça hedef olan saldırı vektörleridir ve federal işletmeler için ciddi riskler taşımaktadır.”
Etkilenen Sistemler
Zimbra güvenlik açıkları, son yıllarda binlerce savunmasız e-posta sunucusunu ihlal etmek için sıkça hedef alınmaktadır. Örneğin, Haziran 2022 itibarıyla Zimbra auth-bypass ve uzaktan kod yürütme hataları, 1.000’den fazla sunucunun ihlal edilmesine neden olmuştur. Eylül 2022’de, bilgisayar korsanları Zimbra Collaboration Suite’deki bir zero-day zayıflığını istismar ederek iki ay içinde neredeyse 900 sunucuyu ihlal etmiştir.
Rusya destekli Winter Vivern hacking grubu, NATO ile uyumlu hükümetlerin Zimbra webmail portallarını büyükelçilerin, askerlerin ve diplomatların e-posta kutularını ihlal etmek için yansıtmalı XSS istismarları kullanmıştır. Daha yakın zamanda, tehdit aktörleri başka bir Zimbra XSS zayıflığı olan CVE-2025-27915‘i kullanarak, rastgele JavaScript kodunu yürütmek ve saldırgan kontrolündeki sunuculara iletileri yönlendirecek e-posta filtreleri ayarlamak için istismar etmiştir.
Çözüm ve Korunma
Tüm Zimbra kullanıcıları için aşağıdaki önlemler gereklidir:
- Güncellemeleri uygulayın: Zimbra’nın yayımladığı güncelleme talimatlarını takip edin.
- Hizmeti durdurun: Eğer güncellemeler mevcut değilse, Zimbra hizmetini durdurmayı düşünebilirsiniz.
- Güvenlik önlemleri alın: Sisteminizi korumak için ek güvenlik önlemleri geliştirin.
Sonuç olarak, Zimbra kullanıcılarının bu tehdide karşı derhal önlem alması ve güvenlik güncellemelerini uygulaması önem arz etmektedir. Bu tür açıklar, hem kişisel verilerinizi hem de organizasyonunuzun siber güvenliğini tehdit etmektedir.
