Zimbra İşbirliği Suite’in CalendarInvite özelliğinde kritik bir XSS güvenlik açığı olan CVE-2024-27443, potansiyel olarak Sednit Hacking Grubu tarafından aktif olarak sömürülmektedir. Bu kusurun saldırganların kullanıcı oturumlarından nasıl ödün vermesine izin verdiğini ve hemen yama işleminin neden önemli olduğunu öğrenin.
Popüler bir e -posta ve işbirliği platformu olan Zimbra İşbirliği Suite (ZCS) ‘de yeni bir güvenlik zayıflığı keşfedildi. CVE-2024-27443 olarak sınıflandırılan bu sorun, saldırganların bilgi çalmasına veya kullanıcı hesaplarının kontrolünü ele geçirmesine izin verebilecek bir tür bölgeler arası komut dosyası (XSS) kusuru.
Kusur nasıl çalışır
Sorun, özellikle Zimbra’nın klasik web istemci arayüzünün CalendarInvite özelliği içinde yer alıyor. Bunun nedeni, sistemin e -postaların takvim üstbilgisindeki gelen bilgileri düzgün bir şekilde kontrol etmemesi nedeniyle olur.
Bu gözetim, depolanmış bir XSS saldırısı için bir açıklık yaratır. Bu, bir saldırganın zararlı kodu özel olarak tasarlanmış bir e -postaya yerleştirebileceği anlamına gelir. Bir kullanıcı bu e -postayı klasik Zimbra arayüzünü kullanarak açtığında, kötü amaçlı kod web tarayıcısında otomatik olarak çalışır ve saldırgana oturumlarına erişir. Bu güvenlik açığının şiddeti, CVSS skoru 6.1 ile orta olarak derecelendirilmiştir. 9.0 (1-38 yamaları) ve 10.0 (10.0.6’ya kadar) ZCS sürümlerini etkiler.
Yaygın maruziyet ve aktif sömürü
22 Mayıs 2025 Perşembe itibariyle, orijinal raporun yayınlandığı bir siber güvenlik içgörü firması olan Censys’e göre, savunmasız olabilecek önemli sayıda Zimbra işbirliği paketi örneği açıklandı.
Censys, en çok Kuzey Amerika, Avrupa ve Asya’da bulunan toplam 129.131 potansiyel olarak savunmasız ZCS örneği gözlemledi. Bunların büyük bir çoğunluğu bulut hizmetlerinde barındırılmaktadır. Ek olarak, genellikle paylaşılan altyapı ile bağlantılı olan 33.614 şirket içi Zimbra ev sahibi tanımlanmıştır.
Güvenlik açığı, 19 Mayıs 2025’te CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna resmi olarak eklendi ve saldırganlar tarafından aktif olarak kullanıldığını doğruladı.
Olası fail?
ESET’ten güvenlik araştırmacıları, tanınmış bir hackleme grubu olan Sednit’in (PDF) (AKA APT28 veya Fancy Bear) bundan yararlanmaya dahil olabileceğini öne sürdüler. ESET’in araştırmacıları, Sednit grubunun bu kusuru, oturum açma ayrıntılarını çalmayı ve webmail platformlarına erişimi sürdürmeyi amaçlayan RoundPress Operasyonu adı verilen daha büyük bir şemanın bir parçası olarak kullanabileceğinden şüpheleniyor. Şu anda halka açık bir kavram kanıtı (POC) istismar olmasa da, aktif sömürü kullanıcıların harekete geçmesi için aciliyeti vurgulamaktadır.
Yama ve hafifletme
İyi haber şu ki, bu güvenlik açığı için yamalar mevcut. Zimbra, ZCS sürüm 10.0.7 ve 9.0.0 Patch 39’daki sorunu ele aldı. Kullanıcılara, potansiyel saldırılara karşı korumak için Zimbra işbirliği paketlerini hemen bu yamalı sürümlere güncellemeleri şiddetle tavsiye ediliyor.