Zimbra Auth Güvenlik Açığı 1.000'den Fazla Devlet Ve Finansal Kuruluş Sunucusundan Yararlanmak İçin Kullanıldı
Zimbra'da, dünyanın dört bir yanındaki ZCS e-posta sunucularını tehlikeye atmak için siber suçlular tarafından aktif olarak istismar edilen bir kimlik doğrulama atlama güvenlik açığı bulunmakta.
Devlet kurumları ve finans kuruluşları da dahil olmak üzere çok çeşitli işletmeler, Zimbra'yı bir e-posta ve işbirliği platformu olarak kullanıyor.
Bugün 140 ülkede 200.000'den fazla işletme Zimbra'nın e-posta ve işbirliği platformunu kullanıyor. Bunlar arasında, finans ve devlet sektörlerinde 1.000'den fazla kuruluş var.
Kusur Profili
Tehdit istihbaratı firması Volexity tarafından, saldırganların ZCS'deki CVE-2022-27925 güvenlik açığından yararlandığı ve bunun bir uzaktan kod yürütme güvenlik açığı (RCE) olduğu bildirilmiştir.
Saldırganlar, bu güvenlik açığından başarıyla yararlanıldıktan sonra, belirli konumlara web kabukları dağıtarak güvenliği aşılmış sunuculara kalıcı erişim elde edebilir.
- CVE KİMLİĞİ: CEVE-2022-27925
- Açıklama: Zimbra İşbirliği (aka ZCS) 8.8.15 ve 9.0, bir ZIP arşivi alan ve ondan dosya ayıklayan mboximport işlevselliğine sahiptir. Yönetici haklarına sahip kimliği doğrulanmış bir kullanıcı, sisteme rastgele dosyalar yükleme yeteneğine sahiptir ve bu da dizin geçişine yol açar.
- Taban Puan: 7.2
- Önem derecesi: YÜKSEK
- NVD Yayınlanma Tarihi: 20.04.2022
- NVD Son Değiştirilme Tarihi: 05/03/2022
Zimbra tarafından yayınlanan yakın tarihli bir danışma belgesinde, bu güvenlik açıklarının vahşi doğada aktif olarak kullanıldığı gerçeğinden bahsedilmedi.
Görünüşe göre, şirketin çalışanı forumunda yamaların saldırılarda kötüye kullanıldığını ve derhal uygulanması gerektiğini yayınladı.
Zimbra 8.8.15 yama 33 veya Zimbra 9.0.0 yama 26'dan daha eski bir Zimbra sürümü çalıştırıyorsanız, hemen en son sürüme güncelleyin.
1.000'den Fazla Sunucunun Güvenliği İhlal Edildi
Volexity, birden fazla olay yanıtı sırasında İnternet'e maruz kalan saldırıya uğramış Zimbra e-posta sunucularının kanıtlarını keşfettiğinde, CVE-2022-27925 RCE ve CVE-2022-37042 kimlik doğrulama atlama kusurunu kullanan saldırıya uğramış sunucuların örneklerini taradı.
Volexity'deki siber güvenlik analistleri tarafından bu taramalar aracılığıyla tanımlandığı gibi, 1.000'den fazla ZCS bulut sunucusu arka kapıdan alındı ve tehlikeye atıldı.
Güvenlik açığından etkilenen sunucular Mayıs 2022'den önce CVE-2022-27925'e karşı yama uygulanmazsa ZCS bulut sunucunuzun güvenliğinin ihlal edilme olasılığını dikkate almanız önemlidir.
Bu tarama öncelikle Volexity tarafından bilinen kabuk yollarına dayanır, bu nedenle güvenliği ihlal edilmiş sunucuların tek listesi buysa, bu listeden daha fazla sayıda güvenliği ihlal edilmiş sunucu olması muhtemeldir.
Listelendiği sırada, CVE-2022-27925, kimlik doğrulamasının yürütülmesini gerektiren bir RCE istismarı olarak sınıflandırılmıştır.
Bu güvenlik açığının ayrı bir hatayla birleştirilmesi, kimliği doğrulanmamış uzaktan yararlanma istismarına neden olur ve birisinin uzaktan yararlanmasını kolaylaştırır.
Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.
Kaynak: Cyber Security News