Zimbra Collaboration, işbirliği için bir e-posta sunucusu ve web istemcisi içeren açık kaynaklı bir çözüm yazılım paketidir.
140’tan fazla ülkede 5.000’den fazla şirket ve kamu sektörü kullanıcısı ile yüz milyonlarca son kullanıcı bu çözümü kullanıyor.
Google TAG (Tehdit Analiz Grubu), Haziran 2023’te Zimbra Collaboration’ı (CVE-2023-37580) hedef alan 0 günlük bir istismar tespit etti.
Toplamda, bu hatayı istismar ederek aşağıdaki verileri çalan dört farklı grup var:
- E-posta verileri
- Kullanıcı kimlik bilgileri
- Kimlik doğrulama belirteçleri
Kusur Profili
- CVE kimliği: CVE-2023-37580
- Tanım: 8.8.15 Yaması 41’den önceki Zimbra Collaboration (ZCS) 8, Zimbra Classic Web İstemcisinde XSS’ye izin veriyordu.
- Temel Puan: 6.1
- Şiddet: ORTA
- Güvenlik Açığı Adı: Gerekli Eylem Zimbra İşbirliği (ZCS) Siteler Arası Komut Dosyası Çalıştırma (XSS) Güvenlik Açığı.
Bilgisayar korsanları Zimbra’yı Sömürüyor 0 gün
Etkinliğin çoğu, ilk düzeltmenin GitHub’da halka açıklanmasından sonra gerçekleşti. TAG, yazılımı güncel tutarak ve güvenlik güncellemelerini anında uygulayarak korunmayı vurguluyor.
Yaklaşan web seminerinde CTO Karthik Krishnamoorthy ve Indusface Ürün Başkan Yardımcısı Vivek Gopalan, API’lerin nasıl saldırıya uğrayabileceğini gösteriyor. Oturumda şunlar ele alınacak: OWASP API’nin en iyi 10 güvenlik açığından yararlanma, API’ye kaba kuvvetle hesap ele geçirme (ATO) saldırısı, API’ye DDoS saldırısı, WAAP’ın API ağ geçidi üzerinden güvenliği nasıl artırabileceği
Ücretsiz Kayıt Ol
TAG, Zimbra’nın e-posta sunucusunda (CVE-2023-37580) Haziran ayında aktif olarak kullanılan kritik bir XSS kusuru buldu. Zimbra, 5 Temmuz 2023’te bir düzeltme ve 13 Temmuz 2023’te bir danışma belgesi yayınladı.
Bunun yanı sıra araştırmacılar, resmi yama öncesinde bu yazılımı kullanan üç tehdit grubu da tespit etti ve düzeltmenin ardından dördüncü bir saldırı ortaya çıktı.
Zimbra’nın URL güvenlik açığı, kötü amaçlı komut dosyalarının web sayfalarına enjekte edilmesine izin veren bir XSS’nin yansımasına yol açtı.
Kampanyalar
Aşağıda tüm kampanyalardan bahsettik: –
- Kampanya 1: Bilinen ilk istismar, e-posta çalma çerçevesine yol açıyor
- Kampanya 2: Düzeltmenin Github’a aktarılmasından sonra Winter Vivern’den yararlanma
- Kampanya 3: Kimlik avı için kullanılan istismar
- Kampanya 4: Kimlik doğrulama jetonunu çalmak için N günlük istismar kullanıldı
Dört CVE-2023-37580 kampanyasının keşfi, hızlı posta sunucusu düzeltmelerinin aciliyetinin altını çiziyor. Saldırganlar, Github düzeltmesi sonrası kamuya açık tavsiye niteliğindeki güvenlik açıklarından yararlanır.
Bu, CVE-2022-24682 kullanımının ardından gelir ve CVE-2023-5631’den önce gelir. Düzenli XSS istismarları, sıkı posta sunucusu kod denetimlerine olan ihtiyacı vurgulamaktadır.
IoC’ler
- https://obsorth.opwtjnpoc[.]ml/pQyMSCXWyBWJpIos.js
- https://applicationdevsoc[.]com/zimbraMalwareDefender/zimbraDefender.js
- https://applicationdevsoc[.]com/tndgt/auth.js
- ntcpk[.]kuruluş
Patch Manager Plus, 850’den fazla üçüncü taraf uygulamanın otomatik güncellemeleri için tek noktadan çözüm: Ücretsiz Denemeyi Deneyin.