Bir Kimlik Doğrulama Bypass Zimbra güvenlik açığı, dünya çapında Zimbra İşbirliği Suite (ZCS) e -posta sunucularını tehlikeye atmak için aktif olarak kullanılır.
Zimbra, 140'dan fazla ülkeden 200.000'den fazla işletme tarafından 1.000'den fazla hükümet ve finans kuruluşu dahil olmak üzere kullanılan bir e -posta ve işbirliği platformudur.
Tehdit istihbarat firması Volexity'ye göre, saldırganlar, bir Auth Bypass hatası (CVE-2022-37042 olarak izlenen ve dün yamalı olarak izlenen), CVE-2022-27925 olarak izlenen bir ZCS uzaktan kod yürütme kusurunu kötüye kullanıyorlar. Temmuz sonu.
Şirketin tehdit araştırma ekibi, "Volexity, bu güvenlik açığının 2021'in başlarında keşfettiği Microsoft Exchange 0 günlük güvenlik açıklarıyla gördükleriyle tutarlı bir şekilde kullanıldığına inanıyor." Dedi.
"Başlangıçta casusluk odaklı tehdit aktörleri tarafından sömürüldü, ancak daha sonra diğer tehdit aktörleri tarafından alındı ve kitlesel sömürü girişimlerinde kullanıldı."
Başarılı bir sömürü, saldırganların sürekli erişim elde etmek için tehlikeye atılan sunuculardaki belirli konumlara web kabuklarını dağıtmalarını sağlar.
CVE-2022-27925, #Webshells'i diske yazmayı kolaylaştırdı ve aylar önce yamalı. Ancak, daha düşük bir öncelik olarak kabul edildi, çünkü yönetici kredilerinin sömürülmesi gerekiyordu. CVE-2022-37042 ... bu, bu da kimlik doğrulamasını atlayan bir güvenlik açığından yararlanmak için kritik ve önemsiz bir şekilde girin.
Zimbra, bu güvenlik açıklarının aktif sömürü altında olduğunu bildirmese de, bir çalışan şirket forumundaki müşterileri, gerçekten saldırılarda istismar edildiği için yamaları hemen uygulama konusunda uyardı.
Çarşamba günü yayınlanan Uyarı, "Zimbra 8.8.15 Patch 33 veya Zimbra 9.0.0 Patch 26'dan daha eski bir Zimbra sürümü çalıştırıyorsanız, en kısa sürede en son yamaya güncellemelisiniz."
BleepingComputer bugün daha önce ulaştığında bir Zimbra sözcüsü yorum için mevcut değildi.
CISA ayrıca, her iki güvenlik kusurunun da Perşembe günü sömürülen hatalar kataloğuna ekleyerek vahşi doğada sömürüldüğünü doğruladı.
Zimbra e-posta sunucularının CVE-2022-27925 RCE kullanılarak CVE-2022-37042 Auth Bypass hatası, Volexity'nin internet erişimine maruz kalan hacklenen sunucuların örnekleri için taranan CVE-2022-27925 RCE kullanılarak ihlal edildiğine dair kanıtlar keşfettikten sonra.
Bunu yapmak için, şirketin güvenlik uzmanları, tehdit aktörlerinin sunuculara web mermileri nereye kurdukları hakkındaki bilgilerini kullandı.
Volexity, "Bu taramalar sayesinde Volexity, dünya çapında geri yüklenen ve tehlikeye atılan 1.000'den fazla ZCS örneğini belirledi."
"Bu ZCS örnekleri, devlet daireleri ve bakanlıklar, askeri şubeler ve dünya çapında işletmeler dahil olmak üzere çeşitli küresel kuruluşlara aittir.
"Bu taramanın sadece volexity olarak bilinen kabuk yollarını kullandığını göz önünde bulundurarak, gerçekte tehlikeye atılan sunucu sayısının daha yüksek olması muhtemeldir."
Volexity, tüm bulgularının Zimbra'ya bildirildiğini ve aynı zamanda tehlikeye atılan Zimbra örnekleriyle temasa geçilebilecek yerel bilgisayar acil müdahale ekibinin (CERTS) bildirildiğini söylüyor.
En son Zimbra sürümleri (8.8.15 Yama 33 ve 9.0.0 Patch 26) aktif olarak sömürülen RCE ve Auth baypas hatalarına karşı yamalı olduğundan, yöneticiler saldırıları engellemek için sunucularını hemen yamalıdır.
Bununla birlikte, Volexity'nin uyarıldığı gibi, savunmasız sunucular Mayıs 2022'nin sonundan önce RCE hatasına (CVE-2022-27925) yamalanmamışsa, "ZCS örneğinizin tehlikeye atılabileceğini (ve dolayısıyla tüm verilerin üzerindeki tüm verileri düşünmelisiniz. E -posta içeriği dahil, çalınabilir) ve sunucunun tam analizini yapın. "
Volexity, ZCS e -posta sunucularının olası bir olayı araştırmak veya eski sunucudan en son yama ve içe aktarma e -postalarını kullanarak ZCS örneğini yeniden inşa etmek için tehlikeye atıldığına inanan kuruluşlara tavsiyelerde bulunur.
Ne yazık ki, bu iki Zimbra böceği, CISA'nın başka bir yüksek şiddetli Zimbra kusurunu (CVE-2022-27924) eklediği ve tanımlanmamış saldırganların bilinen sömürülen güvenlik açıklığı kataloguna düz metin kimlik bilgilerini çalmasına izin verdiği göz önüne alındığında, aktif olarak sömürülenler değil.
Bilgisayar korsanları Zimbra'daki şifre çalma kusurunu aktif olarak kullanıyor
VMware, yöneticileri hemen kritik otorite bypass hatasını patlatmaya çağırıyor
Zimbra hatası, kullanıcı etkileşimi olmadan e -posta girişlerini çalmaya izin verir
VMware, Kritik Auth Bypass Güvenlik Açığı için Kamudan İstismar konusunda uyarıyor
Kritik RCE Güvenlik Açığı Draytek yönlendiricilerinin 29 modelini etkiler
Kaynak: Bleeping Computer