Güvenlik Açığı: Zimbra Collaboration’da Bulunan Tehdit
Zimbra Collaboration, özellikle kurumsal kullanıcılar arasında yaygın olarak kullanılan bir iletişim ve işbirliği platformudur. Ancak, son dönemde ortaya çıkan bir güvenlik açığı, bu platformu kullananların verilerini ve hesap güvenliğini ciddi şekilde tehdit ediyor. Zimbra’da bulunan bu güvenlik açığı, siber saldırganların kötü niyetli aktiviteler gerçekleştirmesine olanak tanıyor.
CVE-2025-27915: Güvenlik Açığının Ayrıntıları
Zimbra’nın Classic Web Client’ında tespit edilen bu saklı çapraz site scripting (XSS) açığı, kullanıcının aldığı zararlı bir ICS takvim dosyasını görüntülemesi durumunda ortaya çıkıyor. Bu açığın etkisi, HTML içeriklerinin yetersiz bir şekilde temizlenmesinden kaynaklanıyor. Bu durum, saldırganların kurbanın oturumunda rastgele JavaScript kodlarının çalışmasına neden olur.
Bu açığın CVE numarası CVE-2025-27915 olup, CVSS skoru 5.4’tür. NIST Ulusal Güvenlik Açıkları Veritabanı’na (NVD) göre, saldırganlar, ICS konumlu e-posta mesajları yoluyla cihaza sızma gerçekleştirebiliyor. Bu durum, kurbanın e-posta filtrelerini değiştirip, iletişimi kendi kontrolündeki bir adrese yönlendirme yetkisine sahip olmasına neden oluyor. Böylece, saldırganlar kurbanın hesabında yetkisiz işlemler gerçekleştirebilir.
Gerçek Dünya Saldırıları
Zimbra, bu açığı 2025 yılının 27 Ocakında yayınlanan 9.0.0 Patch 44, 10.0.13 ve 10.1.5 versiyonlarıyla düzeltmiştir. Ancak, bu açığın gerçek dünya saldırılarında kullanıldığına dair bir bilgi verilmedi. Ancak, StrikeReady Labs tarafından 30 Eylül 2025’te yayınlanan bir rapor, bu açığın kötü niyetli aktörler tarafından kullanıldığına dair güçlü kanıtlar sunmaktadır.
Bu rapora göre, bilinmeyen tehdit aktörleri, Bahar 2025’te Libya Donanması Protokol Ofisi’ni taklit ederek Brezilya askeri hedeflerini hedef almışlardır. Bu saldırılarda kullanılan ICS dosyası, kurbanın kimlik bilgilerini, e-postalarını ve diğer önemli verileri çalmak için tasarlanmış kötü niyetli JavaScript kodları içeriyordu. Kod, “ffrk[.]net” gibi dış bir sunucuya veri göndermek için tasarlanmıştı.
Veri Hırsızlığı: Saldırının Sonuçları
Saldırının iç yapısı, e-posta klasörlerinde belirli aramaları gerçekleştiren, zararlı Zimbra e-posta filtre kuralları ekleyen bir mekanizma içeriyor. Bu mekanizma, iletilerin [email protected] adresine yönlendirilmesine olanak tanıyor. Üstelik, saldırının tespit edilmemesi için tasarlanmış özel bir gizleme yöntemi de kullanılıyor. Bu düzenek, kullanıcı arayüzündeki belirli unsurları gizliyor ve yalnızca son çalıştırmadan üç günden fazla zaman geçmişse aktif hale geliyor.
Saldırganlar: Kimler Arkada?
Bu saldırıların arkasında kimin olduğu net olarak bilinmiyor. Ancak, ESET’in daha önce açıklamalarına göre, APT28 olarak bilinen Rus tehdit aktörü, Zimbra dahil olmak üzere farklı webmail çözümlerinde XSS açıklarını kullanarak izinsiz erişim sağladı. Bunun yanında, Winter Vivern ve UNC1151 (Ghostwriter) gibi diğer hacker grupları, kimlik bilgisi çalmada benzer bir yöntem izliyor.
Otomasyon ve Koruma Yöntemleri
Kullanıcıların bu tür saldırılara karşı alabilecekleri önlemler arasında güvenlik güncellemelerini düzenli olarak takip etmek ilk sırada yer alıyor. Zimbra’nın en güncel versiyonunu kullanmak, riskleri azaltmak için önemlidir. Ayrıca, e-posta filtreleme kurallarını ve gelen e-postaların içeriklerini dikkatle incelemek, komplo içeriklerini dışlama noktasında kritik bir rol oynar.
Kullanıcılar ayrıca, bilinmeyen kaynaklardan gelen içerikleri açmaktan kaçınmalı ve olası phishing saldırılarına karşı dikkatli olmalıdır. Güçlü parolaların kullanılması ve iki faktörlü kimlik doğrulama yöntemlerinin etkinleştirilmesi, hesap güvenliğini artırmak adına önemli adımlardır.
Bu tür güvenlik açıkları, teknoloji dünyası için her zaman birer tehdit unsuru olmuştur. Kullanıcıların, bu tehditler karşısında daha bilinçli ve hazırlıklı olmaları, hem kendi güvenliklerini hem de kullanmakta oldukları platformların güvenliğini artırmada büyük önem taşıyor.
