Bir site site komut dosyası (XSS) Zimbra güvenlik açığı, Avrupa medya ve devlet organizasyonlarını hedef alan saldırılarda aktif olarak yararlanır.
Zimbra, anlık mesajlaşma, rehber, video konferans, dosya paylaşımı ve bulut depolama yeteneklerini içeren bir e-posta ve işbirliği platformudur.
Zimbra'ya göre, 140'tan fazla ülkeden 200.000'den fazla işletme, 1.000'den fazla hükümet ve finansal kuruluş da dahil olmak üzere yazılımını kullanıyor.
Araştırmacılar, "Yazma sırasında, bu istismar mevcut bir düzeltme eki yoktur, bir CVE (yani, bu sıfır gün bir güvenlik açığı)" dedi.
"Volexity, Zimbra-8.8.15 P29 & P30'ın en son sürümlerinin savunmasız kalmasını onaylayabilir ve test edebilir; sürüm 9.0.0 testi, muhtemelin etkilenmediğini gösterir."
Volexity şimdiye kadar, sadece bekar, daha önce bilinmeyen bir tehdit aktörünü gözlemledi.
Bununla birlikte, kırılganlık, saldırganların, "kullanıcının Zimbra webmail oturumu bağlamında" diğer kötü amaçlı eylemleri gerçekleştirmelerini sağlayabilir:
İstifleme Aralık ayında başladığından beri, Volexity, katıştırılmış uzak görüntülerle keşif e-postaları kullanarak canlı e-posta adresleri için temp_heretik kontrolünü gördü.
Bir sonraki saldırı aşamasında, tehdit aktörleri, 16 Aralık ve Aralık 2021 tarihleri arasında birden fazla dalgada, kötü amaçlı bağlantılar ve çeşitli temalar (örneğin, görüşme istekleri, hayır kurumları için davetiyeler ve tatil selamları) ile mızraksız phishing e-postaları gönderdi.
"Kötü niyetli bağlantıyı tıklattıktan sonra, saldırgan altyapısı, hedeflenen kuruluşun Zimbra Webmail ana bilgisayarında bir sayfaya yönlendirmeyi dener, bu da belirli bir URI formatı olan belirli bir URI biçiminde, bir saldırganın keyfi JavaScript'i yüklemesini sağlayan bir güvenlik açığı Araştırmacılar ekledi.
Kötü amaçlı kod, saldırganların mağdurların posta kutularındaki e-postalardan geçmesine izin verdi ve e-posta içeriğini ve ataşmanlarını saldırgan kontrollü sunuculara exfiltrate.
"Bu yazı sırasında, bu güvenlik açığı için resmi bir düzeltme ya da geçici çözüm yok. Volexity, Exploit'in Zimbra'yı bilgilendirdi ve bir yamanın yakında hazır olacağını umuyor" dedi.
"BinaryDedge verilerine dayanarak, gerçek sayının daha yüksek olması muhtemel olmasına rağmen, Zimbra e-posta sunucusunu yaklaşık 33.000 sunucu çalıştırıyor."
Volexity, bu sıfır gününü sömüren saldırıları engellemek için aşağıdaki önlemleri almalarını önerir:
Bir açıklama zaman çizelgesi ve kampanya (Dubbed AraciHidite) ile bağlantılı olan etki alanları ve IP adresleri dahil olmak üzere uzlaşma (IOC) göstergeleri, bugün yayınlanan raporun sonunda mevcuttur.
Güncelleme 04 Şubat 19:26 EST: Zimbra sözcüsü BleepingComputer'ı yayınladıktan sonra aşağıdaki ifadeyi gönderdi:
Zimbra 8.8.15'i etkileyen yeni sıfır gün bir istismar tespit edilmiştir. Bildirilen güvenlik açığının öğrenilmesinden bu yana Zimbra Mühendislik sorunu doğruladı ve bir düzeltme üretti (8.8.15 P30 için). Düzeltme, Zimbra desteğiyle Zimbra müşterilerine sunulacak. Konuyla ilgili dayanıklı bir düzeltme, test ve kalite incelemesi yapılır ve 8.8.15P30'a güncelleme olarak sunulacaktır. Güncellenen yama, 5 Şubat 2022'de indirme sitemiz üzerinden kullanılabilirlik için planlanıyor.
Sorun sadece Zimbra 8.8.15 ve önceki sürümleri etkiler. Tüm Zimbra müşterilerinin herhangi bir sorunu önlemek için en son sürümünü kullanmanızı öneririz.
Argo CD güvenlik açığı Kubbernetes uygulamalarından hassas bilgiler sızar
Microsoft 365, daha fazla güvenlik için 'harici' e-posta etiketleri ekler
Apple, Macos, iOS cihazlarını kesmek için kullandığı yeni sıfır gününü düzeltti.
Protonmail yeni bir e-posta izleyici engelleme sistemi tanıtıyor
Firefox röle, tek kullanımlık e-posta bloğuna, Angers kullanıcıları için eklendi
Kaynak: Bleeping Computer