Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

Zimbra Collaboration Suite’te yama uygulanmamış RCE hatasını kullanan bilgisayar korsanları


Zimbra logosu

Bilgisayar korsanları, yaygın olarak dağıtılan bir web istemcisi ve e-posta sunucusu olan Zimbra İşbirliği Paketi’ndeki (ZCS) yama uygulanmamış bir uzaktan kod yürütme (RCE) güvenlik açığından aktif olarak yararlanıyor.

Sıfır gün güvenlik açığı şu şekilde izlenir: CVE-2022-41352kritik olarak derecelendirilir (CVSS v3 puanı: 9.8) ve bir saldırganın “Amavis” (e-posta güvenlik sistemi) aracılığıyla rastgele dosyalar yüklemesine izin verir.

Güvenlik açığından başarıyla yararlanılması, bir saldırganın Zimbra web kökünün üzerine yazmasına, kabuk kodunu yerleştirmesine ve diğer kullanıcıların hesaplarına erişmesine olanak tanır.

Güvenlik açığı, yöneticilerin saldırıların ayrıntılarını yayınladığı Eylül ayının başında sıfır gün olarak keşfedildi. Zimbra forumlarında.

cpio’nun güvensiz kullanımından kaynaklanıyor

Güvenlik açığının temel nedeni, Amavis bir dosyayı virüslere karşı taradığında arşivleri çıkarmak için ‘cpio’ dosya arşivleme yardımcı programını kullanmasıdır.

cpio bileşeninde, bir saldırganın Zimbra tarafından erişilebilen bir dosya sisteminde herhangi bir yerden çıkarılabilen arşivler oluşturmasına olanak tanıyan bir kusur vardır.

Bir Zimbra sunucusuna bir e-posta gönderildiğinde, Amavis güvenlik sistemi, içeriğinde bir virüs taraması gerçekleştirmek için arşivi çıkaracaktır. Ancak, özel olarak hazırlanmış bir .cpio, .tar veya .rpm arşivini çıkarırsa, içerik Zimbra web köküne çıkarılabilir.

Saldırgan bu güvenlik açığını kullanarak web kabuklarını Zimbra köküne dağıtarak sunucuya etkin bir şekilde kabuk erişimi verebilir.

Zimbra, 14 Eylül’de sistem yöneticilerini taşınabilir bir arşivleme yardımcı programı olan Pax’ı yüklemeleri ve güvenlik açığı bulunan bileşen olan cpio’yu değiştirmek için Zimbra sunucularını yeniden başlatmaları konusunda uyarmak için bir güvenlik danışma belgesi yayınladı.

“Pax paketi kurulu değilse, Amavis cpio kullanmaya geri dönecek, ne yazık ki geri dönüş kötü bir şekilde uygulanıyor (Amavis tarafından) ve kimliği doğrulanmamış bir saldırganın Zimbra sunucusunda Zimbra webroot dahil olmak üzere dosyalar oluşturmasına ve üzerine yazmasına izin verecek. ” diye uyardı Eylül güvenlik danışmanlığı.

“Ubuntu sunucularının çoğu için, Zimbra’ya bağlı olduğu için pax paketinin zaten kurulmuş olması gerekir. CentOS’taki bir paketleme değişikliği nedeniyle, pax’in yüklenmeme olasılığı yüksektir.”

Amavis bunu otomatik olarak cpio’ya tercih ettiğinden, başka bir yapılandırma gerekmediğinden Pax’i yüklemek sorunu azaltmak için yeterlidir.

Güvenlik açığı aktif olarak istismar edildi

Güvenlik açığı Eylül ayından bu yana aktif olarak kullanılırken, yeni bir Rapid7 tarafından rapor aktif kullanımına bir kez daha ışık tutuyor ve saldırganların kolayca kötü amaçlı arşivler oluşturmasına olanak tanıyan bir PoC açığı içeriyor.

Daha da kötüsü, Rapid7 tarafından yürütülen testler, resmi olarak Zimbra tarafından desteklenen birçok Linux dağıtımının hala Pax’i varsayılan olarak yüklemediğini ve bu kurulumları hataya karşı savunmasız hale getirdiğini gösteriyor.

Bu dağıtımlar Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 ve CentOS 8’i içerir. Ubuntu’nun eski LTS sürümleri, 18.04 ve 20.04, Pax’ı içerir, ancak paket 22.04’te kaldırılmıştır.

Geçici çözümü uygulama komutları
Geçici çözüm komutları

Kavram kanıtı (PoC) açıkları bir süredir herkese açık olduğundan, geçici çözümün uygulanmaması riski çok büyüktür.

“Bu cpio 0 günlük güvenlik açığına ek olarak, Zimbra ayrıca bir Metasploit modülüne sahip 0 günlük bir ayrıcalık yükseltme güvenlik açığından da muzdarip. Bu, cpio’daki bu 0 günlük, doğrudan Zimbra Collaboration Suite’in uzaktan kök güvenliğinin ihlal edilmesine yol açabileceği anlamına geliyor. sunucular,” ayrıca araştırmacıları uyarmak.

Zimbra, cpio’yu kullanımdan kaldırarak ve Pax’i Zimbra Collaboration Suite için bir ön koşul haline getirerek ve böylece kullanımını zorunlu kılarak bu sorunu kararlı bir şekilde azaltmayı planlıyor.

Ancak, mevcut kurulumlar için riskler devam etmektedir, bu nedenle yöneticilerin ZCS sunucularını korumak için derhal harekete geçmeleri gerekir.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.