Bir kimlik doğrulama atlaması Zimbra güvenlik açığı, dünya çapındaki Zimbra İşbirliği Paketi (ZCS) e-posta sunucularını tehlikeye atmak için aktif olarak kullanılır.
Zimbra, 1.000’den fazla devlet ve finans kuruluşu dahil olmak üzere 140’tan fazla ülkeden 200.000’den fazla işletme tarafından kullanılan bir e-posta ve işbirliği platformudur.
Vahşi doğada sömürülen
Tehdit istihbarat firması Volexity’ye göre, saldırganlar şu şekilde izlenen bir ZCS uzaktan kod yürütme kusurunu kötüye kullanıyorlar. CVE-2022-27925 bir auth bypass hatası (CVE-2022-37042 olarak izlenir ve yamalı dün) Haziran sonu kadar erken.
Şirket, “Volexity, bu güvenlik açığından 2021’in başlarında keşfettiği Microsoft Exchange 0 günlük güvenlik açıklarıyla tutarlı bir şekilde yararlanıldığına inanıyor” dedi. Tehdit Araştırma ekibi şunları söyledi:.
“Başlangıçta casusluk odaklı tehdit aktörleri tarafından istismar edildi, ancak daha sonra diğer tehdit aktörleri tarafından yakalandı ve kitlesel sömürü girişimlerinde kullanıldı.”
Başarılı bir istismar, saldırganların, kalıcı erişim elde etmek için güvenliği ihlal edilmiş sunuculardaki belirli konumlara web kabukları dağıtmasına olanak tanır.
Zimbra, danışma belgesinde bu güvenlik açıklarının aktif olarak istismar edildiğini açıklamasa da, bir çalışan müşterileri uyardı saldırılarda gerçekten kötüye kullanıldıklarından yamaları hemen uygulamak için şirketin forumunda.
Çarşamba günü yayınlanan uyarıda, “Zimbra 8.8.15 yama 33 veya Zimbra 9.0.0 yama 26’dan daha eski bir Zimbra sürümü kullanıyorsanız, mümkün olan en kısa sürede en son yamaya güncellemelisiniz.”
BleepingComputer bugün erken saatlerde ulaştığında bir Zimbra sözcüsü yorum yapmak için müsait değildi.
CISA ayrıca, her iki güvenlik açığının da eklenerek vahşi ortamda istismar edildiğini doğruladı. sömürülen hata kataloğuna Perşembe günü.
1.000’den fazla sunucunun güvenliği zaten ihlal edildi
Birden fazla olay yanıtı sırasında Zimbra e-posta sunucularının CVE-2022-37042 kimlik doğrulama atlama hatasının yardımıyla CVE-2022-27925 RCE kullanılarak ihlal edildiğine dair kanıt bulduktan sonra, Volexity İnternet erişimine maruz kalan saldırıya uğramış sunucuların örneklerini taradı.
Bunu yapmak için şirketin güvenlik uzmanları, tehdit aktörlerinin sunuculara web kabukları yükledikleri yer hakkındaki bilgilerini kullandı.
Volexity, “Bu taramalar aracılığıyla, Volexity, dünya çapında arka kapıya kapatılmış ve güvenliği ihlal edilmiş 1.000’den fazla ZCS örneği tespit etti” diye ekledi.
“Bu ZCS örnekleri, devlet daireleri ve bakanlıklar, askeri şubeler ve milyarlarca dolarlık geliri olan dünya çapındaki işletmeler dahil olmak üzere çeşitli küresel kuruluşlara aittir.
“Bu taramanın yalnızca Volexity tarafından bilinen kabuk yollarını kullandığını göz önünde bulundurursak, güvenliği ihlal edilmiş sunucuların gerçek sayısının daha yüksek olması muhtemeldir.”
Volexity, tüm bulgularının Zimbra’ya bildirildiğini ve ayrıca, güvenliği ihlal edilmiş Zimbra örnekleriyle temasa geçilebilecek yerel Bilgisayar Acil Müdahale Ekibi’nin (CERT’ler) olduğunu söylüyor.

En son Zimbra sürümleri (8.8.15 yama 33 ve 9.0.0 yama 26), aktif olarak yararlanılan RCE ve auth bypass hatalarına karşı yama yapıldığından, yöneticilerin saldırıları engellemek için sunucularını hemen yamalaması gerekir.
Ancak Volexity’nin uyardığı gibi, savunmasız sunucular Mayıs 2022’nin sonundan önce RCE hatasına (CVE-2022-27925) karşı yamalanmadıysa, “ZCS bulut sunucunuzun güvenliğinin ihlal edilmiş olabileceğini (ve dolayısıyla üzerindeki tüm verilerin, e-posta içeriği dahil, çalınabilir) ve sunucunun tam bir analizini yapın.”
Volexity, ZCS e-posta sunucularının güvenliğinin ihlal edildiğini düşünen kuruluşlara olası bir olayı araştırmaları veya en son yamayı kullanarak ZCS örneklerini yeniden oluşturmaları ve eski sunucudan e-postaları içe aktarmaları konusunda tavsiyede bulunur.
Ne yazık ki, CISA’nın sahip olduğu göz önüne alındığında, bu iki Zimbra hatası muhtemelen aktif olarak istismar edilenler değil. başka bir yüksek önemde Zimbra kusuru eklendi (CVE-2022-27924)kimliği doğrulanmamış saldırganların, Bilinen İstismar Edilen Güvenlik Açıkları Kataloğuna düz metin kimlik bilgilerini çalmasına izin verir.