Zimbra’nın günlük sonrası hizmetindeki CVE-2024-45519 olarak tanımlanan kritik bir güvenlik açığı, 19.600’den fazla halka açık Zimbra kurulumunu uzaktan kod yürütme saldırılarına maruz bıraktı.
CVSS puanı 9,8 olan bu güvenlik açığı, kimliği doğrulanmamış saldırganların etkilenen Zimbra kurulumlarında rastgele komutlar yürütmesine olanak tanıyor ve bu sistemlerin güvenliği ve bütünlüğü için önemli bir tehdit oluşturuyor.
6 Ekim 2024’te gerçekleştirilen taramalar, dünya genelinde yama yapılmamış Zimbra örneklerinin yaygın bir şekilde bulunduğunu ortaya çıkardı.
Güvenlik açığı bulunan tesislerin en fazla olduğu ilk üç ülke Almanya (1,6 bin), Amerika Birleşik Devletleri (1,6 bin) ve Rusya (1,5 bin) oldu.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Bu yaygın güvenlik açığı, Zimbra yöneticilerinin en son güvenlik yamalarını acilen uygulaması gerektiğinin altını çiziyor.
CVE-2024-45519, Zimbra’nın günlük sonrası hizmetinde bulunan ve e-posta iletişimlerini kaydetmek için kullanılan bir işletim sistemi komut yerleştirme güvenlik açığıdır.
Kusur, hatalı giriş doğrulamasından kaynaklanmaktadır. read_maps kullanıcı girişinin doğrudan aktarıldığı işlev popen yeterli sanitasyon olmadan çalışır. Bu, saldırganların daha sonra sunucu tarafından yürütülecek rastgele komutlar eklemesine olanak tanır.
Saldırganların Gmail adreslerini taklit eden ve CC alanlarında base64 kodlu dizeler içeren e-postalar göndermesiyle aktif istismar raporları ortaya çıktı.
Bu dizeler, kodu çözüldükten sonra savunmasız Zimbra sunucuları tarafından komutlar olarak yürütülür ve güvenliği ihlal edilmiş sistemlere kalıcı arka kapı erişimi sağlayan web kabuklarının kurulumuna yol açar.
Azaltmalar
Bu tehdidi azaltmak için Zimbra yöneticilerine Zimbra tarafından sağlanan en son güvenlik yamalarını uygulamaları şiddetle tavsiye edilir.
Bu güvenlik açığını gidermek için 8.8.15, Yama 46, 9.0.0, Yama 41, 10.0.9 ve 10.1.1 sürümleri yayımlandı.
Ayrıca yöneticiler şunları sağlamalıdır: postjournal gerekli değilse hizmet devre dışı bırakılır ve mynetworks Yetkisiz erişimi önlemek için parametrenin doğru şekilde yapılandırıldığından emin olun.
CVE-2024-45519’un kritik doğası ve aktif kullanımı, zamanında yama uygulamasının ve sağlam güvenlik önlemlerinin önemini vurgulamaktadır.
Zimbra yöneticileri sistemlerini güvence altına almak ve ciddi ihlalleri önlemek için hızlı hareket etmelidir.
Temel Öneriler:
- Hemen Yama Yapın: Zimbra tarafından sağlanan en son güvenlik yamalarını uygulayın.
- Postjournal’ı devre dışı bırakın: Gerekmiyorsa devre dışı bırakın
postjournalhizmet. - Mynetworks’ü yapılandırın: Şunlardan emin olun:
mynetworksYetkisiz erişimi önlemek için parametrenin doğru şekilde yapılandırıldığından emin olun. - Haberdar Olun: Sistem güvenliğini korumak için güvenlik güncellemelerini düzenli olarak kontrol edin ve uygulayın.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri