ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Perşembe günü, aktif istismarın kanıtlarını öne sürerek Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna iki kusur ekledi.
İki yüksek önem düzeyi sorunu, etkilenen e-posta sunucularında kimliği doğrulanmamış uzaktan kod yürütülmesini sağlamak için zincirlenebilecek olan Zimbra İşbirliğindeki zayıflıklarla ilgilidir –
- CVE-2022-27925 (CVSS puanı: 7.2) – Kimliği doğrulanmış kullanıcıdan mboximport aracılığıyla uzaktan kod yürütme (RCE) (Mart’ta yayınlanan 8.8.15 Yama 31 ve 9.0.0 Yama 24 sürümlerinde düzeltildi)
- CVE-2022-37042 – MailboxImportServlet’te kimlik doğrulama atlama (Ağustos’ta yayınlanan 8.8.15 Yama 33 ve 9.0.0 Yama 26 sürümlerinde düzeltildi)
Zimbra bu haftanın başlarında “Zimbra 8.8.15 yama 33 veya Zimbra 9.0.0 yama 26’dan daha eski bir Zimbra sürümü kullanıyorsanız, mümkün olan en kısa sürede en son yamaya güncellemelisiniz,” diye uyardı.
CISA, kusurları kullanan saldırılar hakkında herhangi bir bilgi paylaşmadı, ancak siber güvenlik firması Volexity, Zimbra örneklerinin bilinmeyen bir tehdit aktörü tarafından vahşi bir şekilde sömürüldüğünü açıkladı.
Özetle, saldırılar, rastgele dosyalar yükleyerek temel sunucuda uzaktan kod yürütme elde etmek için yukarıda belirtilen kimlik doğrulama atlama kusurundan yararlanmayı içerir.
Volexity, “CVE-2022-27925 tarafından kullanılan aynı uç noktaya (mboximport) erişilirken kimlik doğrulamasının atlanmasının mümkün olduğunu” ve kusurun “geçerli yönetici kimlik bilgileri olmadan yararlanılabileceğini ve böylece güvenlik açığının önem derecesini önemli ölçüde daha kritik hale getirebileceğini” söyledi.
Ayrıca, bazıları devlet dairelerine ve bakanlıklara ait olan, bu saldırı vektörü kullanılarak arka kapıya kapatılan ve güvenliği ihlal edilen dünya çapında 1.000’den fazla örneği seçti; askeri şubeler; ve milyarlarca dolarlık geliri olan şirketler.
Haziran 2022’nin sonunda ortaya çıkan saldırılar, virüslü sunuculara uzun vadeli erişimi sürdürmek için web kabuklarının dağıtımını da içeriyordu. En fazla güvenlik açığı bulunan örneklere sahip ülkeler arasında ABD, İtalya, Almanya, Fransa, Hindistan, Rusya, Endonezya, İsviçre, İspanya ve Polonya yer alıyor.
Volexity, “CVE-2022-27925, başlangıçta kimlik doğrulama gerektiren bir RCE istismarı olarak listelendi” dedi. “Ancak, ayrı bir hatayla birleştirildiğinde, uzaktan istismarı önemsiz hale getiren, kimliği doğrulanmamış bir RCE istismarı haline geldi.”
Açıklama, CISA’nın kataloğa Zimbra ile ilgili başka bir hata olan CVE-2022-27924’ü eklemesinden bir hafta sonra geldi ve bu hata istismar edilirse saldırganların hedeflenen örneklerin kullanıcılarından açık metin kimlik bilgilerini çalmasına izin verebilir.