Zimbra İşbirliği Süitinde (ZCS) sıfır gün güvenlik açığı, 2025’in başlarında hedeflenen saldırılarda aktif olarak kullanıldı.
CVE-2025-27915 olarak tanımlanan kusur, kurbanların e-posta hesaplarından hassas verileri çalmak için silahlandırılmış icalendar (.ics) dosyaları göndererek saldırganların kaldırıldığı depolanmış bir siteler arası komut dosyası (XSS) güvenlik açığıdır.
Saldırılar ilk olarak JavaScript içeren alışılmadık derecede büyük icalendar dosyalarını izlemeye başlayan festeready tarafından tanımlandı.
Dikkate değer bir saldırı, 193.29.58.37’lik bir IP adresini kullanan bir saldırganın, o zamanlar bilinmeyen istismar sağlamak için Libya Donanması Protokol Ofisi’ni taklit ettiği Brezilya’nın ordusunu hedef aldı.
Sorunun çekirdeği, Icalendar dosyalarında HTML içeriğini düzgün bir şekilde sterilize edemeyen Zimbra’nın klasik web istemcisi içinde yatıyor. Bu, tehdit aktörlerinin kötü niyetli JavaScript’i bir .ICS EK.
Bir kullanıcı kötü amaçlı takvim girişini içeren bir e -posta açtığında, komut dosyası kullanıcının etkin oturumunda yürütülür.
Genellikle uzaktan kod yürütme (RCE) kusurlarından daha az şiddetli kabul edilen bu XSS güvenlik açığı, oldukça etkili olduğunu kanıtladı.
Saldırganların, kullanıcının bilgisi olmadan veri söndürme ve oturum kaçırma da dahil olmak üzere yetkisiz eylemler gerçekleştirmek için keyfi kod çalıştırmasını sağladı.
Zimbra, 27 Ocak 2025’teki güvenlik açığını, yamalar (sürüm 9.0.0 P44, 10.0.13 ve 10.1.5) yayınlayarak ele aldı, ancak kanıtlar, çözümün mevcut olmadan önce kullanıldığını gösteriyor.
Kapsamlı bir veri çalma yükü
Exploit aracılığıyla teslim edilen JavaScript yükü, özellikle Zimbra webmail için tasarlanmış sofistike bir veri çalmacıdır. Yetenekleri şunları içerir:
- Kimlik Bilgisi Hırsızlığı: Oturum açma sayfalarından kullanıcı adlarını ve şifreleri yakalamak için gizli form alanları oluşturur.
- Veri Defiltrasyonu: Komut dosyası, e -postalar, kişiler, dağıtım listeleri, paylaşılan klasörler, çizik kodları ve güvenilir cihaz bilgileri dahil olmak üzere çok çeşitli bilgileri çalacak şekilde programlanmıştır. Çalıntı veriler, saldırgan kontrollü bir sunucuya gönderilir. https://ffrk.net/apache2_config_default_51_2_1.
- Etkinlik İzleme: Kullanıcı etkinliğini izler ve bir kullanıcı aktif değilse, bunları günlüğe kaydetmeden önce veri hırsızlığını tetikler.
- E -posta yönlendirme: Kötü amaçlı yazılım, kurbanın e -postalarını otomatik olarak harici bir adrese iletmek için “Correo” adlı kötü amaçlı bir e -posta filtresi kuralı ekler, [email protected].
- Kaçınma Teknikleri: Tespitten kaçınmak için, komut dosyası yürütmeden önce 60 saniyelik bir gecikme kullanır, yürütmesini üç günde bir sınırlar ve kullanıcı arayüzü öğelerini etkinliğini gizlemek için gizler.
Doğrudan ilişkilendirme doğrulanmamış olsa da, araştırmacılar taktiklerin üretken bir Rus bağlantılı tehdit oyuncusu ve Belarus hükümetiyle bağlantılı olan UNC1151 grubu tarafından kullanılanlara benzer olduğunu belirtiyor.
Bu olay, kurumsal ortamlarda XSS güvenlik açıklarının ortaya koyduğu önemli tehdidin ve güvenlik yamalarının derhal uygulanmasının önemini vurgulamaktadır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
