Güvenlik araştırmacıları, sıfır günlük siteler arası komut dosyası çalıştırma (XSS) hatası olan Zimbra güvenlik açığı hakkında uyarılar yayınladı.
Yaygın olarak kullanılan bir işbirliği ürünü olan Zimbra, müşterilerine bir uyarı yayınlayarak gecikmeden bir yazılım yaması uygulamalarını istedi.
Şirket, kullanıcı verilerinin gizliliğini ve bütünlüğünü potansiyel olarak tehlikeye atabilecek bir güvenlik açığı belirledi.
Zimbra, bir e-posta sunucusu ve bir web istemcisi içeren ortak çalışmaya dayalı bir yazılım paketidir.
“Sorun düzeltildi. Sistemin etkinliğini ve kararlılığını sağlamak için sıkı testler de gerçekleştirdik. Düzeltmenin Temmuz yama sürümünde sunulması planlanıyor” dedi.
Şirkete göre, yama yükleme sorumluluğu kullanıcılara ait.
“Katyon al. Düzeltmeyi manuel olarak uygulayın” uyarısı verildi. “Verilerinizi korumak için daha erken harekete geçmek isteyebileceğinizi anlıyoruz.”
Bu, bu yıl siber güvenlik haberlerinde gündeme gelen ikinci sıfır gün Zimbra güvenlik açığıdır.
Şubat ayında araştırmacılar, Zimbra’nın e-posta platformunda, onu kullanan bir kampanyanın kanıtı olan bir güvenlik açığını açıkladılar.
Volexity’den siber güvenlik uzmanları, yani Steven Adair ve Thomas Lancaster, TEMP_Heretic olarak bilinen bir tehdit grubunun hedefli kimlik avı saldırıları yoluyla güvenlik açığından aktif olarak yararlandığını ortaya çıkardı.
İlk olarak Aralık 2021’de tespit edildi ve Çinli siber suçlular tarafından düzenlendiğine inanılıyor.
Zimbra güvenlik açığı: Sıfır gün hatası
Şirkete göre, Zimbra güvenlik açığı Collaboration Suite Sürüm 8.8.15’i etkiliyor ve potansiyel olarak müşteri verilerinin gizliliğini ve bütünlüğünü etkileyebilir.
Bu Zimbra güvenlik açığı, farklı web siteleri arasındaki güvenden yararlanarak çalışan bir siteler arası komut dosyası çalıştırma (XSS) hatasıdır.
Siteler arası komut dosyası oluşturma (XSS), güvenilmeyen komut dosyalarının bir siteden başka bir sitenin güvenilir içeriğine, hedef sitenin HTML dosyalarından veya JavaScript kodundan doğrudan ödün vermeden aktarılmasını içerir.
“X sitesi aracılığıyla Y sitesine tıklamak gibi masum görünen bir işlem gerçekleştirmek, X sitesinin operatörüne, tarayıcınızın Y’den geri aldığı web sayfalarına hileli JavaScript kodu yerleştirmesi için sinsice bir şans verir” dedi. Sofos.
“Bu da, X’in, aksi takdirde Y’ye özel olacak hesap bilgileriniz, giriş tanımlama bilgileri, kimlik doğrulama belirteçleri, işlem gibi verileri okuyarak ve hatta belki de değiştirerek, Y sitesindeki hesabınıza erişim sağlayabileceği anlamına gelir. tarih vb.”
Zimbra, kodundaki hatayı yamalamış olsa da, güncellenmiş sürüm henüz yayınlanmadı.
Ancak, bug’ın gerçek bir siber saldırı sırasında keşfedilmiş olması durumun aciliyetini vurgulamaktadır. bir Google güvenlik araştırmacısı tarafından.
Bu, güvenlik açığını sıfırıncı gün açıklarından yararlanma olarak sınıflandırır, yani genel olarak ifşa edilmeden önce kötü niyetli aktörler tarafından keşfedilmiştir.
Sorunu hemen çözmek için Zimbra, müşterilerine ürünün kurulum dizinindeki belirli bir veri dosyasında tek satırlık bir düzenlemeyi içeren düzeltmeyi manuel olarak uygulamalarını tavsiye etti.
Şirket tarafından yapılan resmi güvenlik uyarısı, kullanıcı verilerini korumak için acil önlem almanın önemini vurguladı.
Zimbra güvenlik açığının teknik ayrıntıları
XSS, uygun doğrulama olmadan harici olarak gönderilen verileri web sayfalarına dahil ederek istismar sunucularına saldırır.
Bu başlangıçta olası görünmese de, web sitelerinin girilen verileri doğrulaması veya arama sonuçlarını görüntülemesi gerektiğinde yaygın bir uygulamadır.
Örneğin, bir alışveriş sitesinde “Kutsal Kâse” gibi bir ürün ararken, URL “https://example.com/search/?product=Holy%20Grail” gibi bir sorgu içerecektir (%20, bir uzay).
Arama sonuçlarını aldıktan sonra, web sitesinin aranan terimi kullanıcı dostu bir şekilde göstermesi beklenir.
Ancak, sunucu küçüktür işareti () gibi özel karakterleri yanlış işlerse<) and greater-than sign (>), beklenmeyen sonuçlar ortaya çıkabilir.
Bu karakterlerin HTML’de özel anlamları vardır ve komutları yürütmek için kullanılabilirler. Örneğin, HTML etiketi
bir satır sonunu temsil eder. Bu tür etiketlerin doğru şekilde işlenmemesi, keyfi JavaScript kodunun yürütülmesine yol açabilir.
Bir XSS güvenlik açığından yararlanmak, saldırganların web sayfalarını manipüle etmesine ve kötü amaçlı eylemler gerçekleştirmesine olanak tanır.
JavaScript kodunu enjekte ederek, hassas verileri alabilir veya değiştirebilir, yetkisiz mesajlar gönderebilir, kurbanın adına eylemlere yetki verebilir ve hatta güvenliği ihlal edilmiş hesaba uzun süreli erişim elde etmek için kimlik doğrulama çerezleri alabilirler.
Zimbra güvenlik açığını azaltmak için müşterilere, ürün dizini içindeki yerleşik bir web formundaki belirli bir öğeyi değiştirmeleri talimatı verilir.
Önerilen değişiklik, XSS saldırılarına eğilimli tüm karakterlerin, < için gibi kaçış dizileri kullanılarak düzgün bir şekilde kodlanmasını sağlar. <, > > için ve & için &.
Sophos danışmanlığına göre, kendi Zimbra bulut sunucularını yöneten veya yönetimlerini dışarıdan temin eden kuruluşlar için süreç aşırı derecede karmaşık olmayabilir.
Ancak, güvenlik açığına karşı kapsamlı koruma sağlamak için düzeltmenin tüm posta kutusu düğümlerine uygulanmasının çok önemli olduğunu da sözlerine ekledi.