![Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Dört Hacker Grubu Tarafından İstismar Edildi](https://kilalu.blog/news/2024-07-30-14:49/Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Dört Hacker Grubu Tarafından İstismar Edildi.jpg)
16 Kasım 2023Haber odasıGüvenlik Açığı / E-posta Güvenliği
Zimbra Collaboration e-posta yazılımındaki sıfır gün kusuru, e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için dört farklı grup tarafından gerçek dünya saldırılarında kullanıldı.
Google Tehdit Analiz Grubu (TAG), “Bu etkinliğin çoğu, ilk düzeltmenin GitHub’da herkese açık hale gelmesinden sonra gerçekleşti.” söz konusu The Hacker News ile paylaşılan bir raporda.
Kusur şu şekilde izlendi: CVE-2023-37580 (CVSS puanı: 6.1), 8.8.15 Yaması 41’den önceki sürümleri etkileyen, yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır. Zimbra tarafından 25 Temmuz 2023’te yayınlanan yamaların bir parçası olarak ele alınmıştır.
Eksikliğin başarılı bir şekilde kullanılması, kurbanları özel hazırlanmış bir URL’ye tıklamaları için kandırarak kötü amaçlı komut dosyalarının kurbanların web tarayıcılarında çalıştırılmasına, Zimbra’ya etkili bir şekilde XSS isteği başlatılmasına ve saldırının kullanıcıya geri yansıtılmasına olanak sağlayabilir.
Araştırmacısı Clément Lecigne’in hatayı keşfedip bildirdiği Google TAG, Zimbra’nın bir tavsiye yayınlamasından en az iki hafta önce, 29 Haziran 2023’ten itibaren birden fazla kampanya dalgası keşfettiğini söyledi.
Dört kampanyadan üçü yamanın yayınlanmasından önce gözlemlendi; dördüncü kampanya ise düzeltmelerin yayınlanmasından bir ay sonra tespit edildi.
İlk kampanyanın Yunanistan’daki bir devlet kuruluşunu hedef aldığı ve hedeflerine, tıklandığında daha önce Şubat 2022’de EmailThief adlı bir siber casusluk operasyonunda gözlemlenen e-posta hırsızlığı yapan bir kötü amaçlı yazılım gönderen istismar URL’leri içeren e-postalar gönderdiği söyleniyor.
Volexity’nin TEMP_HERETIC kod adını verdiği izinsiz giriş seti, saldırıları gerçekleştirmek için Zimbra’daki sıfır gün kusurundan da yararlandı.
![Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru](https://teknomers.com/wp-content/uploads/2023/11/Zimbra-E-posta-Yazilimindaki-Sifir-Gun-Kusuru-Dort-Hacker-Grubu-Tarafindan.png)
CVE-2023-37580’den yararlanan ikinci tehdit aktörü, güvenlik açığına yönelik bir yamanın 5 Temmuz’da GitHub’a gönderilmesinden kısa bir süre sonra Moldova ve Tunus’taki devlet kuruluşlarını hedef alan Winter Vivern’dir.
Düşman topluluğunun bu yıl Proofpoint ve ESET tarafından Zimbra Collaboration ve Roundcube’daki güvenlik açıklarından yararlanılmasıyla bağlantılı olduğunu belirtmekte fayda var.
TAG, 25 Temmuz’da Vietnam’daki bir hükümet kuruluşuna ait kimlik bilgilerinin çalınması amacıyla yama yayınlanmadan önce, hatayı silah haline getiren kimliği belirsiz üçüncü bir grubun tespit edildiğini söyledi.
TAG, “Bu durumda, istismar URL’si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların muhtemelen tehlikeye attığı resmi bir hükümet etki alanında barındırılan bir URL’ye gönderen bir komut dosyasına işaret ediyordu.” dedi.
Son olarak, 25 Ağustos’ta Pakistan’daki bir hükümet kuruluşu bu kusur kullanılarak hedef alındı ve bunun sonucunda Zimbra kimlik doğrulama jetonu “ntcpk” adlı uzak bir alana sızdı.[.]org.”
Google ayrıca, tehdit aktörlerinin posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlandıkları ve bu tür uygulamaların kapsamlı bir şekilde denetlenmesinin gerekli olduğu bir modele dikkat çekti.
TAG, “CVE-2023-37580’den yararlanan en az dört kampanyanın keşfedilmesi, üç kampanya hatanın ilk kez kamuya açıklanmasından sonra, kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini gösteriyor.” dedi.
“Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor.”
Popular Articles
- 03 Aug Ryzen Threadripper Pro 7995WX: AMDnin 96 çekirdekli canavarının gücü açığa çıktı
- 23 Jul Herkesin Aklında Aynı Soru: Deprem Önceden Anlaşılabilir mi?
- 07 Aug Brian Reitzellin ”Watch Dogs” İçin Yaptığı Müzikler Albüm Oluyor
- 12 Aug Köy okulunda 23 Nisan coşkusu - Son Dakika Haberler
- 08 Aug Fae Çiftliği romantizm seçenekleri – en iyi hediyeler ve kiminle çıkılacağı
Latest Articles
- 17 Aug Olur? Geely Tugella 2023 için Rusya fiyatları açıklandı – yeni nesil ucuzladı
- 08 Aug Oyunun Kendi Hikâyesinden Daha Güzel Olan 6 Hayran Teorisi
- 29 Jul Mobilite ve lojistik filolarının operasyonel süreçlerini odaklanan Smart Kiwi 250 bin pound tohum öncesi yatırım aldı
- 12 Aug 3D reklamların geleceğini QReal anlattı
- 06 Aug Webrazzi Summit Sponsorlarına Teşekkürler!
Other Articles
- Verizon, mağaza ve servis çalışanlarının asgari maaşını artırıyor, oturum açma ve hafta sonu ikramiyeleri ekliyor
- “Afrika’da yapay zeka pan-Afrikan olacak ya da olmayacak” – Siècle Digital
- Kripto pazarının dik bir zirvesi: Bitcoin 2 yıl içinde minimuma düştü, Ethereum zaten 1.200 doların altında
- Diyanet: Cuma günü ve kandil gecesi camiler kapalı tutulacak
- Jüpiterin uydusu Ganymedede devasa okyanus