Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Dört Hacker Grubu Tarafından İstismar Edildi - Dünyadan Güncel Teknoloji Haberleri

Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Dört Hacker Grubu Tarafından İstismar Edildi - Dünyadan Güncel Teknoloji Haberleri

Eksikliğin başarılı bir şekilde kullanılması, kurbanları özel hazırlanmış bir URL’ye tıklamaları için kandırarak kötü amaçlı komut dosyalarının kurbanların web tarayıcılarında çalıştırılmasına, Zimbra’ya etkili bir şekilde XSS isteği başlatılmasına ve saldırının kullanıcıya geri yansıtılmasına olanak sağlayabilir ”

Google ayrıca, tehdit aktörlerinin posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlandıkları ve bu tür uygulamaların kapsamlı bir şekilde denetlenmesinin gerekli olduğu bir modele dikkat çekti 8

Düşman topluluğunun bu yıl Proofpoint ve ESET tarafından Zimbra Collaboration ve Roundcube’daki güvenlik açıklarından yararlanılmasıyla bağlantılı olduğunu belirtmekte fayda var

Araştırmacısı Clément Lecigne’in hatayı keşfedip bildirdiği Google TAG, Zimbra’nın bir tavsiye yayınlamasından en az iki hafta önce, 29 Haziran 2023’ten itibaren birden fazla kampanya dalgası keşfettiğini söyledi

İlk kampanyanın Yunanistan’daki bir devlet kuruluşunu hedef aldığı ve hedeflerine, tıklandığında daha önce Şubat 2022’de EmailThief adlı bir siber casusluk operasyonunda gözlemlenen e-posta hırsızlığı yapan bir kötü amaçlı yazılım gönderen istismar URL’leri içeren e-postalar gönderdiği söyleniyor [

“Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor ” dedi Zimbra tarafından 25 Temmuz 2023’te yayınlanan yamaların bir parçası olarak ele alınmıştır

TAG, 25 Temmuz’da Vietnam’daki bir hükümet kuruluşuna ait kimlik bilgilerinin çalınması amacıyla yama yayınlanmadan önce, hatayı silah haline getiren kimliği belirsiz üçüncü bir grubun tespit edildiğini söyledi

Son olarak, 25 Ağustos’ta Pakistan’daki bir hükümet kuruluşu bu kusur kullanılarak hedef alındı ​​ve bunun sonucunda Zimbra kimlik doğrulama jetonu “ntcpk” adlı uzak bir alana sızdı ]org 15 Yaması 41’den önceki sürümleri etkileyen, yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır ” söz konusu The Hacker News ile paylaşılan bir raporda ” dedi

Kusur şu şekilde izlendi: CVE-2023-37580 (CVSS puanı: 6


16 Kasım 2023Haber odasıGüvenlik Açığı / E-posta Güvenliği

Zimbra Collaboration e-posta yazılımındaki sıfır gün kusuru, e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için dört farklı grup tarafından gerçek dünya saldırılarında kullanıldı

TAG, “Bu durumda, istismar URL’si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların muhtemelen tehlikeye attığı resmi bir hükümet etki alanında barındırılan bir URL’ye gönderen bir komut dosyasına işaret ediyordu

Google Tehdit Analiz Grubu (TAG), “Bu etkinliğin çoğu, ilk düzeltmenin GitHub’da herkese açık hale gelmesinden sonra gerçekleşti

Dört kampanyadan üçü yamanın yayınlanmasından önce gözlemlendi; dördüncü kampanya ise düzeltmelerin yayınlanmasından bir ay sonra tespit edildi

CVE-2023-37580’den yararlanan ikinci tehdit aktörü, güvenlik açığına yönelik bir yamanın 5 Temmuz’da GitHub’a gönderilmesinden kısa bir süre sonra Moldova ve Tunus’taki devlet kuruluşlarını hedef alan Winter Vivern’dir

TAG, “CVE-2023-37580’den yararlanan en az dört kampanyanın keşfedilmesi, üç kampanya hatanın ilk kez kamuya açıklanmasından sonra, kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini gösteriyor ”



siber-2

Volexity’nin TEMP_HERETIC kod adını verdiği izinsiz giriş seti, saldırıları gerçekleştirmek için Zimbra’daki sıfır gün kusurundan da yararlandı 1), 8