zimbra-zero-day

Zimbra Zero Day Güvenlik Açığı, E-postaları Çalmak İçin İstismar Edildi

Siteler arası komut dosyası çalıştırma (XSS) Zimbra güvenlik açığı, Avrupa medyasını ve devlet kuruluşlarını hedef alan saldırılarda aktif olarak kullanılır.

Zimbra, anlık mesajlaşma, kişiler, video konferans, dosya paylaşımı ve bulut depolama özelliklerini de içeren bir e-posta ve işbirliği platformudur.

Zimbra'ya göre, 140'tan fazla ülkeden 200.000'den fazla işletme, 1000'den fazla devlet ve finans kuruluşu dahil olmak üzere yazılımını kullanıyor.

Çinli tehdit aktörüyle bağlantılı saldırılar

Araştırmacılar, "Yazma sırasında, bu istismarın kullanılabilir bir yaması yoktur ve bir CVE atanmamıştır (yani, bu bir sıfır gün güvenlik açığıdır)," dedi.

"Volexity, Zimbra'nın en son sürümlerinin (8.8.15 P29 ve P30) savunmasız kaldığını onaylayabilir ve test etti; 9.0.0 sürümünün test edilmesi, muhtemelen etkilenmediğini gösteriyor."

Volexity, şimdiye kadar yalnızca, TEMP_Heretic (Çinli olduğuna inanılan) olarak izlediği, daha önce bilinmeyen tek bir tehdit aktörünün e-postaları çalmak için mızraklı kimlik avı kampanyalarında sıfır günden yararlandığını gözlemlediğini söylüyor.

Ancak bu güvenlik açığı, saldırganların "kullanıcının Zimbra web posta oturumu bağlamında" başka kötü niyetli eylemler gerçekleştirmesine de olanak tanıyabilir:

  • bir posta kutusuna kalıcı erişime izin vermek için çerezleri sızdırmak
  • kullanıcının kişilerine kimlik avı mesajları gönderme
  • güvenilir web sitelerinden kötü amaçlı yazılım indirme istemi görüntüleniyor

E-posta hırsızlığı için sıfır gün istismarı

Aralık ayında istismar başladığından beri Volexity, TEMP_Heretic'in gömülü uzak görüntülere sahip keşif e-postalarını kullanarak canlı e-posta adreslerini kontrol ettiğini gördü.

Bir sonraki saldırı aşamasında, tehdit aktörleri, 16 Aralık ile Aralık 2021 arasında çok sayıda dalga halinde kötü amaçlı bağlantılar ve çeşitli temalar.

Zimbra Zero Day Güvenlik Açığı, E-postaları Çalmak İçin İstismar Edildi Click to Tweet

"Kötü amaçlı bağlantıya tıklandığında, saldırgan altyapısı, hedeflenen kuruluşun Zimbra web posta ana bilgisayarındaki bir sayfaya, belirli bir URI biçimiyle, kullanıcı oturum açtıysa, saldırganın rastgele JavaScript yüklemesine izin veren bir güvenlik açığından yararlanan bir sayfaya yönlendirmeye çalışır. oturum açmış bir Zimbra oturumunun bağlamı," diye ekledi araştırmacılar.

Kötü amaçlı kod, saldırganların kurbanların posta kutularındaki e-postaları gözden geçirmesine ve e-posta içeriklerini ve eklerini saldırgan kontrollü sunuculara sızdırmasına izin verdi.

Zimbra-zero-day
Zimbra sıfır gün saldırı akışı (Volexity)

Şirket, "Bu yazının yazıldığı sırada, bu güvenlik açığı için resmi bir yama veya geçici çözüm yok. Volexity, Zimbra'yı bu açıktan haberdar etti ve yakında bir yamanın hazır olacağını umuyor" dedi.

"BinaryEdge verilerine dayanarak, yaklaşık 33.000 sunucu Zimbra e-posta sunucusunu çalıştırıyor, ancak gerçek sayının daha yüksek olması muhtemel."

Volexity, bu sıfır günden yararlanan saldırıları engellemek için aşağıdaki önlemlerin alınmasını önerir:

  • Buradaki tüm göstergeler, posta ağ geçidi ve ağ düzeyinde engellenmelidir.
  • Zimbra kullanıcıları, şüpheli erişim ve yönlendirenler için geçmiş yönlendiren verilerini analiz etmelidir. Bu günlükler için varsayılan konum /opt/zimbra/log/access*.log adresinde bulunabilir.
  • Şu anda 8.8.15'in güvenli bir sürümü olmadığı için Zimbra kullanıcıları 9.0.0 sürümüne yükseltmeyi düşünmelidir.

Bugün yayınlanan Volexity raporunun sonunda, kampanyaya bağlı etki alanları ve IP adresleri (EmailThief olarak adlandırılır) dahil olmak üzere bir ifşa zaman çizelgesi ve uzlaşma göstergeleri (IoC'ler) mevcuttur.


Kaynak: https://www.bleepingcomputer.com/news/security/zimbra-zero-day-vulnerability-actively-exploited-to-steal-emails/


Bu içerik ilginizi çektiyse LinkedIn ve Twitter hesaplarımı takip edebilir, daha fazla içeriğe erişebilirsiniz.


E-posta listesine katılın

Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.

Haber bültenine kaydolduğunuz için teşekkürler!

Something went wrong.

Yorum Bırakın

Zimbra Zero Day Güvenlik Açığı, E-postaları Çalmak İçin İstismar Edildi

3 min