Siber güvenlik şirketi Kaspersky, o zamanlar neredeyse 1,5 ay boyunca yama olmadan sıfır gün olan kritik Zimbra İşbirliği Paketi’nden (ZCS) yararlanan karmaşık saldırganlar tarafından tehlikeye atılan yaklaşık 900 sunucu tespit etti.
Kaspersky, “Tehdidi araştırdık ve bilinmeyen APT gruplarının, biri Orta Asya’daki tüm savunmasız sunuculara sistematik olarak bulaşan bu güvenlik açığından aktif olarak yararlandığını doğrulayabildik.”
Zimbra İşbirliği Paketi (ZCS) Güvenlik Açığı
(CVE-2022-41352) olarak izlenen güvenlik açığı, saldırganların ZCS sunucusuna bir web kabuğu yerleştirirken aynı zamanda antivirüs denetimlerini atlayan kötü amaçlı bir arşiv eki içeren bir e-posta göndermesine olanak tanıyan bir uzaktan kod yürütme hatasıdır.
Kaspersky araştırmacıları, çeşitli APT (gelişmiş kalıcı tehdit) gruplarının, Zimbra forumlarında bildirildikten kısa bir süre sonra kusurdan aktif olarak yararlandığını söylüyor.
Raporlar, bu güvenlik açığı için bir kavram kanıtının Metasploit çerçevesine eklendiğini ve düşük karmaşıklıktaki saldırganlardan bile büyük ve küresel istismar için zemin hazırladığını söylüyor.
Güvenlik Açığı için Yama Kullanılabilir
Zimbra bu güvenlik açığı için bir yama yayınladı; ZCS sürüm 9.0.0 P27 ile, savunmasız bileşenin (cpio) Pax ile değiştirilmesi ve istismarı mümkün kılan zayıf parçanın kaldırılması. Bu nedenle, cihazlarınızı hemen güncelleyin.
Araştırmacılar, saldırganın çeşitli hizmet hesapları tarafından kullanılan parolaları içeren yapılandırma dosyalarına erişimi olduğu için Zimbra’da dezenfeksiyon gerçekleştirmenin son derece zor olduğunu söylüyor.
Bu nedenle, yönetim paneline internetten erişilebiliyorsa, bu kimlik bilgileri sunucuya yeniden erişim sağlamak için kullanılabilir.
Volexity, web kabuklarını yerleştirmek için CVE-2022-41352’den yararlanan tehdit aktörleri tarafından ele geçirildiğine inandıkları yaklaşık 1.600 ZCS sunucusu belirlediklerini belirtti.
Raporlar, ilk saldırıların Eylül ayında başladığını ve Hindistan’daki ve Türkiye’deki bazı savunmasız Zimbra sunucularını hedef aldığını söylüyor. Bu nedenle, muhtemelen saldırının etkinliğini değerlendirmek için düşük faizli hedeflere karşı bir test dalgasıydı.
Özellikle Kaspersky, tehdit aktörlerinin bu ilk dalga sırasında 44 sunucunun güvenliğini ihlal ettiğini değerlendirdi. Daha sonra, tehdit aktörleri, yöneticiler sistemleri yamadan ve davetsiz misafirlere kapıyı kapatmadan önce dünya çapındaki birçok sunucuyu tehlikeye atmak için toplu hedefleme gerçekleştirmeye başladı.
Şu anda, ikinci dalganın daha büyük bir etkisi oldu ve 832 sunucuya kötü amaçlı web kabukları bulaştı. Bu nedenle, cihazlarınızı hemen güncellemeniz önerilir.
Ayrıca Okuyun: Güvenli Web Filtrelemeyi İndirin – Özgür e-kitap