Yönetişim ve Risk Yönetimi, Yama Yönetimi
Zimbra, Siteler Arası Komut Dosyası Çalıştırma Güvenlik Açığı’nı 25 Temmuz’da Düzeltti
Prajeet Nair (@prajeetspeaks) •
16 Kasım 2023
Google, Zimbra Collaboration e-posta sunucusundaki siteler arası komut dosyası oluşturma sıfır gün kusurunun, bilgisayar korsanları için bir fırsat olduğunu kanıtladı; çünkü Google, dört farklı tehdit aktörünün bu hatayı e-posta verilerini ve kullanıcı kimlik bilgilerini çalmak için kullandığını söyledi.
Ayrıca bakınız: CISO’ların Krizi Atlatmalarına Yönelik 10 Kemer Sıkma İpucu
Haziran ayında Google’ın Tehdit Analizi Grubu’ndaki araştırmacılar, CVE-2023-37580 olarak takip edilen ve doğada aktif olarak kullanılan bir sıfır gün güvenlik açığı keşfetti.
Açıklardan yararlanma etkinliğinin çoğu, Zimbra’nın 5 Temmuz’da halka açık GitHub sitesinde bir düzeltme yayınlamasından sonra gerçekleşti. Şirket, 13 Temmuz’da düzeltme kılavuzunu yayınladı ancak 25 Temmuz’a kadar bir yama yayınlamadı. “Bu kampanyalardan üçü, düzeltmenin yayınlanmasından sonra başladı. Google, başlangıçta düzeltmeleri mümkün olan en kısa sürede uygulayan kuruluşların önemini vurgulayarak kamuoyuna duyurdu.” dedi. Zimbra bu yıl çok sayıda hacker saldırısının hedefi oldu.
Zimbra kusurundan yararlanan dört tehdit aktöründen biri, ilk kez Nisan 2021’de DomainTools tarafından kamuoyuna açıklanan ve Rusya veya Belarus ile bağları olduğundan şüphelenilen bir grup olan Winter Vivern’di. SentinelOne araştırmacıları daha önce, grubun 2021 ve 2022’nin büyük bölümünde sessiz veya fark edilmeyen bir görünüm sergiledikten sonra, geçen yılın sonlarında Ukrayna’yı hedef alan kampanyalarla yeniden ortaya çıktığını bildirmişti. Bu yılın ilk aylarında, CVE-2022-27926 olarak takip edilen başka bir Zimbra siteler arası komut dosyası çalıştırma güvenlik açığından yararlandı (bkz.: Rusya Uyumlu Siber Casuslukla Bağlantılı Kimlik Avı Kampanyası).
Dört Kampanya
Google tarafından vurgulanan siteler arası komut dosyası çalıştırma istismarı, bilgisayar korsanlarının kötü amaçlı olarak hazırlanmış bir URL aracılığıyla kötü amaçlı komut dosyaları eklemesine olanak tanıdı.
Google’ın verileri, bilinen ilk istismarın Yunanistan’daki bir devlet kurumunu hedef alan bir e-posta çalma kampanyasında olduğunu gösteriyor. Bir kullanıcı bağlantıya tıkladığında komut dosyası, Zimbra için Şubat ayında Volexity tarafından belgelenen aynı kötü amaçlı yazılım çerçevesini yükledi.
Zimbra bir düzeltme yayınladıktan sonra Winter Vivern bu güvenlik açığından hızlı bir şekilde yararlandı ve Google’ın sıfır gün kusurunu kullanan ikinci kampanya olduğunu söylediği şeyi devreye soktu. Moldova ve Tunus’taki devlet kurumlarını hedef aldı.
Zimbra resmi yamasını yayınlamadan günler önce Google, Vietnam’daki bir devlet kuruluşuna ait kimlik bilgilerini ele geçirme amaçlı bir kampanyanın parçası olarak kimliği belirsiz üçüncü bir grubun bu güvenlik açığından yararlandığını gözlemledi.
Araştırmacılar, “Bu durumda, istismar URL’si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların muhtemelen tehlikeye attığı resmi bir hükümet etki alanında barındırılan bir URL’ye gönderen bir komut dosyasına işaret etti” dedi.
Dördüncü kampanyada Pakistan’daki bir devlet kurumundan kimlik doğrulama jetonlarının çalındığı gözlemlendi.
Araştırmacılar, “Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak kod depolarını nasıl izlediğini de vurguluyor” dedi.