Güvenlik uzmanları, Zimbra kullanıcılarını, düzeltme eki olmayan bir güvenlik açığının vahşi ortamda aktif olarak istismar edildiği konusunda uyarıyor.
Güvenlik uzmanları, Zimbra kullanıcılarını, düzeltme eki olmayan bir güvenlik açığının vahşi ortamda aktif olarak istismar edildiği konusunda uyarıyor. Şirket, güvenlik açığıyla ilgili bir güvenlik güncellemesinde, kullanıcıların bir yamanın oluşturulmasını beklerken uygulayabilecekleri geçici bir geçici çözüm sundu.
Zimbra, mesajlaşma ve işbirliği için kullanılan açık kaynaklı bir web posta uygulamasıdır. Kullanıcı verilerinin gizliliğini ve bütünlüğünü etkileyebilecek güvenlik açığı, Zimbra Collaboration Suite Sürüm 8.8.15’te bulunmaktadır.
Zimbra, farklı endüstrilerde ve devlet kuruluşlarında yaygın olarak kullanılmaktadır. Şubat 2022’de Zimbra e-posta platformunda siteler arası komut dosyası çalıştırma (XSS) sıfır günlük bir güvenlik açığı hakkında rapor vermiştik. O sırada Zimbra, yazılımını kullanan 200.000 işletme ve binden fazla devlet ve finans kurumu olduğunu iddia etmişti. Binlerce Zimbra posta sunucusu, bu güvenlik açığından yararlanan büyük ölçekli bir saldırıda arka plana alındı.
Haziran 2023 fidye yazılımı incelememizde, MalasLocker fidye yazılımı grubunun uzaktan kod yürütmeyi (RCE) etkinleştirmek için Zimbra sunucularındaki CVE-2022-24682 dahil güvenlik açıklarını nasıl hedeflediğini fark ettik. Bu, MalasLocker’ın Mayıs 2023’te bilinen saldırılar listesinde birinci sırayı alarak, çok yıllık en üst sıralarda yer alan LockBit’in yerini almasıyla sonuçlandı.
Zimbra daha fazla ayrıntı vermediğinden sorunun tam olarak ne olduğunu belirlemek zordur. Önerilen düzeltme (aşağıda Azaltma altında), özel hazırlanmış XML dosyaları kullanılarak kötüye kullanılabilecek bir sorun olabileceğini öne sürse de. kullanarak fn:escapeXml() XML biçimlendirmesi olarak yorumlanabilecek karakterlerden kaçan işlev, kullanıcılar girişi temizlemeyi manuel olarak ekler.
Zimbra aktif istismardan bahsetmiyor, ancak Google araştırmacısı Maddie Stone, Google Tehdit Analizi Grubundaki başka bir araştırmacının güvenlik açığının hedefli bir saldırıda vahşi doğada kullanıldığını fark etmesi hakkında tweet attı.
.@_clem1 bunun vahşi doğada hedefli bir saldırıda kullanıldığını keşfetti. Sanada teşekkürler @Zimbra bu danışma ve hafifletme tavsiyesini yayınladığın için! Zimbra Collaboration Suite’i çalıştırıyorsanız, lütfen gidip düzeltmeyi manuel olarak uygulayın! #itw0days https://t.co/lqwt0kOFWA
— Maddie Stone (@maddiesstone) 13 Temmuz 2023
Zimbra’daki daha önceki güvenlik açıkları, siber suçluların Avrupa hükümeti ve medya sektörlerindeki kuruluşlara yönelik hedefli saldırılarda e-postaları çalmasına olanak tanıyordu.
Azaltma
Zimbra güvenlik güncellemesi, aşağıdaki düzeltmeyi tüm posta kutusu düğümlerinize manuel olarak uygulamanızı önerir:
- Dosyanın yedeğini alın /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Ardından aktif dosyayı düzenlemek için açın ve 40 numaralı satıra gidin.
- Değiştirmek
ile
Zimbra, hizmetin yeniden başlatılmasının gerekli olmadığını ve böylece herhangi bir aksama süresi olmadan bunu yapabileceğinizi not eder.
Bir yama kullanıma sunulduğunda ve bu hatayla ilgili başka gelişmeler olması durumunda sizi haberdar edeceğiz.
Güvenlik açıklarını yalnızca rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.