Zimbra Collaboration e-posta yazılımındaki sıfır gün kusuru, e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için dört farklı grup tarafından gerçek dünya saldırılarında kullanıldı.
Google Tehdit Analiz Grubu (TAG), “Bu etkinliğin çoğu, ilk düzeltmenin GitHub’da herkese açık hale gelmesinden sonra gerçekleşti.” söz konusu The Hacker News ile paylaşılan bir raporda.
Kusur şu şekilde izlendi: CVE-2023-37580 (CVSS puanı: 6.1), 8.8.15 Yaması 41’den önceki sürümleri etkileyen, yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır. Zimbra tarafından 25 Temmuz 2023’te yayınlanan yamaların bir parçası olarak ele alınmıştır.
Eksikliğin başarılı bir şekilde kullanılması, kurbanları özel hazırlanmış bir URL’ye tıklamaları için kandırarak kötü amaçlı komut dosyalarının kurbanların web tarayıcılarında çalıştırılmasına, Zimbra’ya etkili bir şekilde XSS isteği başlatılmasına ve saldırının kullanıcıya geri yansıtılmasına olanak sağlayabilir.
Araştırmacısı Clément Lecigne’in hatayı keşfedip bildirdiği Google TAG, Zimbra’nın bir tavsiye yayınlamasından en az iki hafta önce, 29 Haziran 2023’ten itibaren birden fazla kampanya dalgası keşfettiğini söyledi.
Dört kampanyadan üçü yamanın yayınlanmasından önce gözlemlendi; dördüncü kampanya ise düzeltmelerin yayınlanmasından bir ay sonra tespit edildi.
İlk kampanyanın Yunanistan’daki bir devlet kuruluşunu hedef aldığı ve hedeflerine, tıklandığında daha önce Şubat 2022’de EmailThief adlı bir siber casusluk operasyonunda gözlemlenen e-posta hırsızlığı yapan bir kötü amaçlı yazılım gönderen istismar URL’leri içeren e-postalar gönderdiği söyleniyor.
Volexity’nin TEMP_HERETIC kod adını verdiği izinsiz giriş seti, saldırıları gerçekleştirmek için Zimbra’daki sıfır gün kusurundan da yararlandı.
CVE-2023-37580’den yararlanan ikinci tehdit aktörü, güvenlik açığına yönelik bir yamanın 5 Temmuz’da GitHub’a gönderilmesinden kısa bir süre sonra Moldova ve Tunus’taki devlet kuruluşlarını hedef alan Winter Vivern’dir.
Düşman topluluğunun bu yıl Proofpoint ve ESET tarafından Zimbra Collaboration ve Roundcube’daki güvenlik açıklarından yararlanılmasıyla bağlantılı olduğunu belirtmekte fayda var.
TAG, 25 Temmuz’da Vietnam’daki bir hükümet kuruluşuna ait kimlik bilgilerinin çalınması amacıyla yama yayınlanmadan önce, hatayı silah haline getiren kimliği belirsiz üçüncü bir grubun tespit edildiğini söyledi.
TAG, “Bu durumda, istismar URL’si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların muhtemelen tehlikeye attığı resmi bir hükümet etki alanında barındırılan bir URL’ye gönderen bir komut dosyasına işaret ediyordu.” dedi.
Son olarak, 25 Ağustos’ta Pakistan’daki bir hükümet kuruluşu bu kusur kullanılarak hedef alındı ve bunun sonucunda Zimbra kimlik doğrulama jetonu “ntcpk” adlı uzak bir alana sızdı.[.]org.”
Google ayrıca, tehdit aktörlerinin posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlandıkları ve bu tür uygulamaların kapsamlı bir şekilde denetlenmesinin gerekli olduğu bir modele dikkat çekti.
TAG, “CVE-2023-37580’den yararlanan en az dört kampanyanın keşfedilmesi, üç kampanya hatanın ilk kez kamuya açıklanmasından sonra, kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini gösteriyor.” dedi.
“Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor.”
