Yaklaşık 900 sunucu, o zamanlar yaklaşık 1,5 ay boyunca yama olmayan bir sıfır gün olan kritik bir Zimbra İşbirliği Suite (ZCS) güvenlik açığı kullanılarak hacklendi.
CVE-2022-41352 olarak izlenen güvenlik açığı, saldırganların ZCS sunucusuna bir web kabuğu eken kötü niyetli bir arşiv eki ile bir e-posta göndermesine izin veren uzaktan kod yürütme kusurudur.
Siber güvenlik şirketi Kaspersky'ye göre, çeşitli APT (gelişmiş kalıcı tehdit) grupları, Zimbra forumlarında bildirildikten kısa bir süre sonra kusurdan aktif olarak sömürüldü.
Kaspersky, BleepingComputer'a, yaygın olarak yayınlanmadan ve bir CVE tanımlayıcısı almadan önce güvenlik açığından yararlanan sofistike saldırganlar tarafından en az 876 sunucunun tehlikeye atıldığını tespit ettiklerini söyledi.
Geçen hafta, bir Rapid7 raporu CVE-2022-41352'nin aktif sömürüsü hakkında uyardı ve o zaman bir güvenlik güncellemesi mevcut olmadığından yöneticileri mevcut geçici çözümleri uygulamaya çağırdı.
Aynı gün, metasploit çerçevesine bir kavram kanıtı (POC) eklendi ve düşük vasıflı bilgisayar korsanlarının bile savunmasız sunuculara karşı etkili saldırılar başlatmasını sağladı.
Zimbra o zamandan beri ZCS sürüm 9.0.0 P27 ile bir güvenlik düzeltmesi yayınladı, savunmasız bileşeni (CPIO) PAX ile değiştirdi ve sömürüyü mümkün kılan zayıf kısmı kaldırdı.
Bununla birlikte, sömürü o zamana kadar hız kazanmıştı ve çok sayıda tehdit aktörü zaten fırsatçı saldırılar başlatmaya başlamıştı.
Volexity dün, analistlerinin CVE-2022-41352'den yararlanan tehdit aktörleri tarafından web kabuklarını dikmek için tehlikeye atıldığına inandıkları yaklaşık 1.600 ZCS sunucusunu belirlediğini bildirdi.
Siber güvenlik firması Kaspersky ile özel görüşmelerde BleepingComputer, kritik kusurdan yararlanan bilinmeyen bir apt'in muhtemelen Zimbra forumlarında yayınlanan bilgilere dayanarak bir çalışma istismarını bir araya getirdiği söylendi.
İlk saldırılar Eylül ayında başladı ve Hindistan'da ve bazılarını Türkiye'deki savunmasız Zimbra sunucularını hedef aldı. Bu ilk saldırı dalgası muhtemelen saldırının etkinliğini değerlendirmek için düşük faiz hedeflerine karşı bir test dalgasıdır.
Ancak Kaspersky, tehdit aktörlerinin bu ilk dalga sırasında 44 sunucuyu tehlikeye attığını değerlendirdi.
Güvenlik açığı halka açık olur olmaz, tehdit aktörleri vites değiştirdi ve yöneticiler sistemleri düzeltmeden ve davetsiz misafirlere kapıyı kapatmadan önce dünya çapında mümkün olduğunca çok sunucudan ödün vermeyi umarak kitle hedefleme yapmaya başladı.
Bu ikinci dalganın daha büyük bir etkisi oldu ve 832 sunucuyu kötü niyetli web kabuklarıyla bulaştı, ancak bu saldırılar önceki saldırılardan daha rastgele idi.
Mevcut Zimbra güvenlik güncellemelerini uygulamayan ZCS yöneticileri veya geçici çözümler, sömürü faaliyeti yüksek viteste olduğundan ve muhtemelen bir süre durmayacağı için bunu derhal yapmalıdır.
Zimbra İşbirliği Süitinde Satılmamış RCE Bug'dan yararlanan bilgisayar korsanları
Kritik VM2 Koşusu, saldırganların kum havuzunun dışında kod çalıştırmasına izin verir
Moobot Botnet, Patched D-Link yönlendiriciniz için geliyor
Zyxel, kritik RCE güvenlik açığını düzeltmek için yeni NAS ürün yazılımı yayınladı
Atlassian Bitbucket Sunucusu Kritik RCE Güvenlik Açığı'na karşı savunmasız
Kaynak: Bleeping Computer