Zimbra, kurumsal işbirliği paketinde, savunmasız örneklere rastgele dosyalar yüklemek için kullanılabilecek, aktif olarak yararlanılan bir güvenlik açığını içerecek yamalar yayınladı.
CVE-2022-41352 (CVSS puanı: 9.8) olarak izlenen sorun, Zimbra paketinin Amavis adlı bir bileşenini, açık kaynaklı bir içerik filtresini ve daha spesifik olarak, arşivleri taramak ve çıkarmak için kullandığı cpio yardımcı programını etkiler.
Kusurun, ilk olarak 2015’in başlarında açıklanan ve Flashpoint’e göre düzeltilen, ancak daha sonra Linux dağıtımlarında geri alınacak başka bir temel güvenlik açığından (CVE-2015-1197) kaynaklandığı söyleniyor.
Geçen hafta yayınlanan bir danışma belgesinde Zimbra, “Bir saldırgan, diğer kullanıcı hesaplarına yanlış erişim elde etmek için cpio paketini kullanabilir” diyerek, “cpio yerine pax önerir” dedi.
Düzeltmeler aşağıdaki sürümlerde mevcuttur –
Eksikliği silah haline getirmek için arayan bir düşmanın tek yapması gereken, özel olarak hazırlanmış bir TAR arşiv eki içeren bir e-posta göndermektir; bu eklenti alındığında, istismarı tetiklemek için cpio modülünü kullanan Amavis’e gönderilir.
Siber güvenlik şirketi Kaspersky, bilinmeyen APT gruplarının vahşi doğadaki kusurdan aktif olarak yararlandığını ve aktörlerden birinin “Orta Asya’daki tüm savunmasız sunuculara sistematik olarak bulaştığını” açıkladı.
Eylül ayının başlarında ve sonlarında iki saldırı dalgasında ortaya çıkan saldırılar, esas olarak bölgedeki devlet kurumlarını hedef aldı ve sonraki faaliyetler için güvenliği ihlal edilmiş sunuculara web kabukları atmak için ilk dayanağı kötüye kullandı.
Olay müdahale şirketi Volexity tarafından paylaşılan bilgilere dayanarak, kabaca 1.600 Zimbra sunucusunun “hedefli ve fırsatçı saldırıların karışımı” olarak adlandırdığı şekilde enfekte olduğu tahmin ediliyor.
“Bazı web kabuğu yolları […] ağırlıklı olarak Asya’da hükümet, telekomünikasyon ve BT’deki kilit kuruluşların hedeflenen (muhtemelen APT) sömürüsünde kullanıldı; diğerleri dünya çapında büyük bir sömürü için kullanıldı” söz konusu bir dizi tweette.