Aktif! Posta Sıfır Gün Uzaktan Kod Yürütme Güvenlik Açığı, Japonya'daki büyük kuruluşlara yönelik saldırılarda aktif olarak kullanılmaktadır.
Aktif! Mail, başlangıçta Transware tarafından geliştirilen ve daha sonra her iki Japon şirketi olan Qualitia tarafından satın alınan web tabanlı bir e-posta istemcisidir.
Dünya çapında Gmail veya Outlook gibi yaygın olarak kullanılmasa da, aktif! genellikle büyük şirketlerin, üniversitelerin, devlet kurumlarının ve bankaların Japonca ortamlarında grup yazılımı bileşeni olarak kullanılır.
Satıcıya göre, aktif! 2.250'den fazla organizasyonda 11.000.000'den fazla hesaba sahip olarak kullanılmaktadır ve bu da onu ülkenin iş web posta pazarında önemli bir oyuncu haline getirmektedir.
Geçen haftanın sonlarında Qualitia, CVE-2025-42599 (CVSS V3 Puanı: 9.8, "Kritik") altında izlenen yığın tabanlı bir tampon taşma güvenlik açığı hakkında bir güvenlik bültenini aktifin tüm sürümlerini etkiledi! Tüm desteklenen işletim sistemi platformlarında 'BuildInfo: 6.60.05008561' dahil.
Bülten, "Uzak bir üçüncü taraf tarafından kötü niyetli bir şekilde hazırlanmış bir talep gönderilirse, keyfi kod yürütme veya bir hizmet reddi (DOS) koşulu tetiklenmesi olasılığı vardır."
Her ne kadar Qualitia, kusurun kullanılıp kullanılmadığını araştıran Japonya'nın sertifikası aktif sömürü durumunu doğrulayarak tüm kullanıcıları aktif olarak güncellemeye çağırdı! Mail 6 BuildInfo: 6.60.06008562 mümkün olan en kısa sürede.
Japon Web Hosting and BT Hizmetleri (SMB) sağlayıcısı Kagoya Japonya hafta sonu boyunca birkaç dış saldırı bildirdi ve hizmeti geçici olarak askıya almasını istedi.
Kagoya'nın daha önce yayınladığı bülten, "Bu sorunun Qualitia (geliştirici) tarafından açıklanan bir güvenlik açığı ile ilgili olduğundan şüpheleniyoruz."
Web barındırma ve BT hizmetleri sağlayıcısı Wadax tarafından da sömürülme girişimlerinin ardından benzer bir hizmet kesintisi rapor edilmiştir.
Wadax, "Bu aşamada, hizmetin müşterilerimiz için güvenli kullanımını henüz garanti edemeyiz."
"Bu nedenle, müşteri güvenliği en büyük önceliğimiz olarak, aktif! Posta hizmetini bir önlem olarak geçici olarak askıya aldık."
MacNica Güvenlik Araştırmacısı Yutaka Sejiyama, BleepingComputer'a en az 227 internete maruz kalan aktif olduğunu söyledi! Potansiyel olarak bu saldırılara maruz kalan sunucular, 63'ü üniversitelerde kullanılır.
Japonya'nın sertifikası, HTTP istek gövdesi denetimini etkinleştirmek ve boyutları belirli bir eşiği aşarsa çok partili/form veri başlıklarını bloke etmek için Web Uygulaması Güvenlik Duvarı'nı (WAF) yapılandırma da dahil olmak üzere güvenlik güncellemesini hemen uygulayamayanlar için belirli bir azaltma adımları önerdi.
GÜNCELLEME 4/23-Japon İnternet Hizmetleri Sağlayıcısı IIJ, müşteri bilgilerinden ödün vererek CVE-2025-42599'u hedefleyen saldırılardan da etkilendiğini açıkladı. Saldırılar ilk olarak 15 Nisan'da tespit edildi, bu da kusurun sıfır gün olarak sömürülmesini gösterdi.
Apache Tomcat'ta kritik RCE kusuru saldırılarda aktif olarak sömürüldü
Kritik PHP RCE güvenlik açığı kütlesi yeni saldırılarda sömürüldü
Ocak ayından bu yana saldırılarda hedeflenen Sonicwall SMA VPN cihazları
Cisa, saldırılarda aktif olarak sömürülen sonicwall vpn kusurunu etiketler
Centrestack RCE, dosya paylaşım sunucularını ihlal etmek için sıfır gün olarak sömürüldü
Kaynak: Bleeping Computer