CISA kısa bir süre önce, CVE-2024-11182 olarak izlenen MDAemon e-posta sunucusunu etkileyen önemli bir güvenlik kusuru içerecek şekilde bilinen sömürülen güvenlik açıkları (KEV) kataloğunu genişletti.
CWE-79 kapsamında kategorize edilen bu güvenlik açığı (genellikle siteler arası komut dosyası veya XSS olarak bilinen web sayfası oluşturma sırasında girişin uygunsuz nötralizasyonu), uzak saldırganların özel olarak hazırlanmış bir HTML e-postası aracılığıyla bir kullanıcının tarayıcı bağlamında keyfi JavaScript kodu yürütmesine izin verir.
KEV kataloğuna bu güvenlik açığının eklenmesi, aktif sömürü riskinin altını çizmektedir ve kuruluşların, yamalar kullanılamıyorsa hafifletme uygulaması veya kullanımı durdurması için acil ihtiyacın altını çizmektedir.
.png
)
Federal ajanslar ve işletmeler, güvenlik açığı önceliklendirmesi için KEV kataloğuna güvenirken, CVE-2024-11182’nin dahil edilmesi bugün e-posta altyapısıyla karşı karşıya olan gelişen tehdit manzarasını vurgulamaktadır.
Mdaemon’da CVE-2024-11182 ve XSS’yi anlamak
CVE-2024-11182, 24.5.1c’den önce MDAemon E-posta Sunucusu sürümlerinde tanımlanan siteler arası bir komut dosyası (XSS) güvenlik açığıdır.
Kusur, sunucunun WebMail arayüzü tarafından işlenen e -posta mesajlarında HTML içeriğinin yetersiz dezenfekte edilmesinden kaynaklanır. Özellikle, saldırganlar kötü amaçlı JavaScript’i bir HTML e -postasının IMG etiketine yerleştirebilir.
Bir kullanıcı Webmail istemcisi aracılığıyla kötü amaçlı e -postaya eriştiğinde, enjekte edilen komut dosyası tarayıcı içinde yürütülür ve kurban kullanıcısının ayrıcalıklarını ve oturumunu devralır.
Bu tür bir güvenlik açığı, kullanıcı tarafından sağlanan girdinin web sayfası çıktısına dahil edilmeden önce düzgün bir şekilde nötralize olmadığı iyi bilinen bir güvenlik sorunları sınıfı olan CWE-79 altına düşer.
Bu saldırının teknik mekanizması, tarayıcının HTML ve JavaScript’i kullanmasından yararlanır ve Webmail uygulaması ile kullanıcının tarayıcı oturumu arasındaki güven ilişkisinden yararlanır.
JavaScript’i enjekte ederek, bir saldırgan oturum çerezlerini çalmak, kullanıcıları kötü amaçlı sitelere yönlendirmek veya rızası olmadan kullanıcı adına eylemler gerçekleştirme gibi eylemler gerçekleştirebilir.
CVE-2024-11182’nin CISA KEV kataloğuna dahil edilmesi, vahşi doğada aktif sömürü kanıtlarına doğrudan bir yanıttır.
CISA tarafından korunan KEV kataloğu, kamu ve özel kuruluşlara karşı sömürülen güvenlik açıklarının yetkili bir deposu olarak hizmet vermektedir.
Amacı, federal ajanslara rehberlik etmek ve daha geniş siber güvenlik topluluğuna, yüksek riskli güvenlik açıklarının iyileştirilmesine öncelik vermede daha geniş siber güvenlik topluluğuna rehberlik etmektir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | MDAemon E -posta Sunucusu <24.5.1c |
| Darbe | Webmail arayüzü aracılığıyla keyfi JavaScript yürütme, oturum kaçırma, kimlik doğrulama veya yetkisiz eylemler sağlayan |
| Önkoşuldan istismar | 1. Saldırgan hazırlanmış HTML E -posta gönderir 2. Mağdur bir Web Emniyeti İstemcisi aracılığıyla e -postayı görüntüler |
| CVSS 3.1 puanı | 6.1 (Orta) |
Azaltma
CVE-2024-11182’nin açıklanmasına yanıt olarak MDAemon Technologies, 24.5.1c ve daha sonraki sürümlerde XSS güvenlik açığını ele alan bir güncelleme yayınladı.
Etkilenen sürümleri yürüten kuruluşlara, sömürü riskini azaltmak için hemen satıcı tarafından sağlanan yamayı uygulamaları tavsiye edilir.
Yama uygulama mümkün değilse, CISA, savunmasız hizmetleri devre dışı bırakmak veya bir düzeltme mevcut olana kadar ürünün kullanımını durdurmak da dahil olmak üzere hafifletme rehberliğinin ardından önerir.
Ayrıca, güvenlik ekipleri e -posta filtreleme ve dezenfekte mekanizmalarını gözden geçirmeye ve geliştirmeye, düzenli güvenlik açığı taramaları yapmaya ve kullanıcıları şüpheli e -postalarla etkileşim riskleri konusunda eğitmeye teşvik edilir.
Yamanın geciktiği ortamlar için, Web Uygulaması Güvenlik Duvarları (WAF) veya kötü amaçlı HTML ve JavaScript içeriğini filtreleyebilen e -posta güvenlik ağ geçitlerinin uygulanması geçici bir savunma katmanı sağlayabilir.
SOC ekibinizi daha hızlı yanıt için derin tehdit analiziyle donatın -> Ücretsiz ekstra sanalbox lisansları alın