Zimbra’da, dünya çapındaki ZCS e-posta sunucularını tehlikeye atmak için siber suçlular tarafından aktif olarak kullanılan bir kimlik doğrulama atlama güvenlik açığı vardır.
Devlet ve finans kuruluşları da dahil olmak üzere çok çeşitli işletmeler, bir e-posta ve işbirliği platformu olarak Zimbra’yı kullanır.
Bugün 140 ülkede 200.000’den fazla işletme Zimbra’nın e-posta ve işbirliği platformunu kullanıyor. Bunların arasında finans ve devlet sektörlerinde 1.000’den fazla kuruluş bulunmaktadır.
Kusur Profili
Tehdit istihbarat firması Volexity tarafından saldırganların ZCS’deki CVE-2022-27925 güvenlik açığından yararlandığı ve bunun bir uzaktan kod yürütme güvenlik açığı (RCE) olduğu bildirildi.
Saldırganlar, belirli konumlara web kabukları dağıtarak bu güvenlik açığından başarıyla yararlandıktan sonra güvenliği ihlal edilmiş sunuculara kalıcı erişim elde edebilir.
- CVE Kimliği: CVE-2022-27925
- Açıklama: Zimbra Collaboration (aka ZCS) 8.8.15 ve 9.0, bir ZIP arşivi alan ve ondan dosya çıkaran mboximport işlevine sahiptir. Yönetici haklarına sahip kimliği doğrulanmış bir kullanıcı, sisteme rastgele dosyalar yükleyerek dizin geçişine yol açabilir.
- Temel Puan: 7.2
- Önem: YÜKSEK
- NVD Yayınlanma Tarihi: 04/20/2022
- NVD Son Değiştirilme Tarihi: 05/03/2022
Zimbra tarafından yakın zamanda yayınlanan bir danışma belgesinde, bu güvenlik açıklarının vahşi doğada aktif olarak istismar edildiğinden söz edilmedi.
Görünüşe göre şirketin çalışanı, saldırılarda yamaların kötüye kullanıldığını ve derhal uygulanması gerektiğini forumunda yayınladı.
Zimbra’nın daha eski bir sürümünü kullanıyorsanız, bu Zimbra 8.8.15 yama 33 veya Zimbra 9.0.0 yama 26’dan daha eskiyse, hemen en son sürüme güncelleyin.
1.000’den Fazla Sunucunun Güvenliği İhlal Edildi
Volexity, birden fazla olay yanıtı sırasında İnternet’e maruz kalan saldırıya uğramış Zimbra e-posta sunucularının kanıtlarını keşfettiğinde, CVE-2022-27925 RCE ve CVE-2022-37042 kimlik doğrulama atlama kusurunu kullanan saldırıya uğramış sunucuların örneklerini taradı.
Volexity’deki siber güvenlik analistleri tarafından bu taramalar aracılığıyla belirlendiği üzere, 1000’den fazla ZCS örneği arka kapıya kapatıldı ve güvenliği ihlal edildi.
Güvenlik açığı bulunan sunuculara Mayıs 2022’den önce CVE-2022-27925’e karşı yama uygulanmadığı takdirde ZCS bulut sunucunuzun güvenliğinin ihlal edilme olasılığını hesaba katmak önemlidir.
Bu tarama öncelikle Volexity tarafından bilinen kabuk yollarına dayanmaktadır, bu nedenle bu, güvenliği ihlal edilmiş sunucuların tek listesiyse, bu listeden daha fazla sayıda güvenliği ihlal edilmiş sunucu olması muhtemeldir.
Listelendiği sırada CVE-2022-27925, kimlik doğrulamanın yürütülmesini gerektiren bir RCE istismarı olarak sınıflandırılmıştı.
Bu güvenlik açığını ayrı bir hatayla birleştirmek, kimliği doğrulanmayan uzaktan istismar istismarına neden olur ve birisinin bunu uzaktan kullanmasını kolaylaştırır.
Sponsored: Your SWG Battle Plan: 3 Steps to Achieve Web Security