Popüler bir e-posta ve işbirliği platformu olan Zimbra, dergi sonrası hizmetindeki ciddi bir güvenlik açığını gidermek için önemli bir güvenlik güncellemesi yayınladı. CVE-2024-45519 olarak tanımlanan bu kusur, kimliği doğrulanmamış saldırganların etkilenen Zimbra kurulumlarında rastgele komutlar yürütmesine olanak tanıyor.
Güvenlik açığı Zimbra’nın dergi sonrası hizmetinde keşfedildi. Saldırganlar, kimlik doğrulaması olmadan rastgele komutlar çalıştırmak için bundan yararlanabilir ve bu da platformu kullanan sistemlerin güvenliği ve bütünlüğü açısından önemli bir risk oluşturur.
Güvenlik yaması, Zimbra’nın herkesin erişebildiği S3 klasörü s3(:)repo.zimbra.com’da barındırılıyordu. Araştırmacılar, en son Zimbra yama paketinden postjournal ikili dosyasının yamalı versiyonunu elde etti.
İkili fark gerçekleştirmek yerine, run_command gibi kritik işlevleri tanımlamak için Ghidra’yı kullanarak ikili dosyayı tersine çevirdiler.
ANY.RUN’un Yeni Güvenli Tarama Aracını Kullanarak Şüpheli Bağlantıları Analiz Edin: Ücretsiz Deneyin
Yamalı sürümde, execvp işlevi, kullanıcı girişinin bir dizi olarak iletilmesiyle kullanılır ve doğrudan komut enjeksiyonunu önler. Girişleri temizlemek ve komut eklemeye yol açabilecek özel karakterleri engellemek için bir is_safe_input işlevi tanıtıldı.
Araştırmacılar, yazılımın yama yapılmamış sürümünü analiz etti ve yazılımın, girdi temizleme işlemi olmadan read_maps işlevinde popen kullandığını ve komut enjeksiyonuna izin verdiğini keşfetti. Bir test sunucusu kurarak bir SMTP mesajının bu güvenlik açığından nasıl yararlanabileceğini gösterdiler.
Kavram Kanıtı
10027 numaralı bağlantı noktasında çalışan günlük sonrası hizmette rastgele komutları yürütmek için belirli SMTP komutları kullanılarak bir kavram kanıtı geliştirildi. Açıktan yararlanma başlangıçta dahili olarak başarılıydı ancak varsayılan yapılandırma ayarları nedeniyle uzaktan denendiğinde zorluklarla karşılaştı.
Araştırmacılar, aşağıdaki SMTP komutlarını kullanarak bu istismarı doğrudan günlük sonrası hizmette 10027 numaralı bağlantı noktası üzerinden test etti.
Zimbra kullanıcılarına, sistemlerini potansiyel suiistimallerden korumak için en son güvenlik yamasını hemen uygulamaları tavsiye edilir. Güncelleme, girişlerin uygun şekilde temizlenmesini sağlayarak ve yetkisiz komut yürütülmesini önleyerek riski azaltır.
Günlük Posta Hizmetini Etkinleştirme
Daha ayrıntılı bir araştırma sonucunda, günlük sonrası hizmetinin varsayılan olarak devre dışı bırakıldığı keşfedildi. Bunu etkinleştirmek için aşağıdaki komutlar yürütüldü:
bashzmlocalconfig -e postjournal_enabled=true
zmcontrol restart
Günlük sonrası hizmeti etkinleştirildiğinde, araştırmacılar istismarı SMTP bağlantı noktası 25’te yeniden çalıştırdılar ve başarılı komut yürütmeyi gözlemlediler.
Bu güvenlik açığı ve yama ayrıntıları hakkında daha fazla bilgi için kullanıcılar Zimbra’nın resmi güvenlik tavsiyelerine başvurabilirler.
Savunmasız sistemlerin belirlenmesine yardımcı olmak amacıyla CVE-2024-45519 için bir Nuclei şablonu geliştirildi. Bu şablon, SMTP tabanlı saldırıları simüle ederek güvenlik açığı örneklerini tespit edebilir.
Bu kritik güncelleme, zamanında yama uygulamasının ve dikkatli sistem izlemenin öneminin altını çiziyor. Potansiyel güvenlik ihlallerini önlemek ve sistem bütünlüğünü korumak için kullanıcılar Zimbra kurulumlarını güncellemelidir.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağı Konusunda Ücretsiz Web Semineri -> Ücretsiz Web Semineri