Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Dört Hacker Grubu Tarafından İstismar Edildi - Dünyadan Güncel Teknoloji Haberleri

Zimbra E-posta Yazılımındaki Sıfır Gün Kusuru Dört Hacker Grubu Tarafından İstismar Edildi - Dünyadan Güncel Teknoloji Haberleri

Araştırmacısı Clément Lecigne’in hatayı keşfedip bildirdiği Google TAG, Zimbra’nın bir tavsiye yayınlamasından en az iki hafta önce, 29 Haziran 2023’ten itibaren birden fazla kampanya dalgası keşfettiğini söyledi 1), 8 ”



siber-2

TAG, 25 Temmuz’da Vietnam’daki bir hükümet kuruluşuna ait kimlik bilgilerinin çalınması amacıyla yama yayınlanmadan önce, hatayı silah haline getiren kimliği belirsiz üçüncü bir grubun tespit edildiğini söyledi

TAG, “CVE-2023-37580’den yararlanan en az dört kampanyanın keşfedilmesi, üç kampanya hatanın ilk kez kamuya açıklanmasından sonra, kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini gösteriyor [


16 Kasım 2023Haber odasıGüvenlik Açığı / E-posta Güvenliği

Zimbra Collaboration e-posta yazılımındaki sıfır gün kusuru, e-posta verilerini, kullanıcı kimlik bilgilerini ve kimlik doğrulama belirteçlerini çalmak için dört farklı grup tarafından gerçek dünya saldırılarında kullanıldı ” dedi

Google Tehdit Analiz Grubu (TAG), “Bu etkinliğin çoğu, ilk düzeltmenin GitHub’da herkese açık hale gelmesinden sonra gerçekleşti

Kusur şu şekilde izlendi: CVE-2023-37580 (CVSS puanı: 6

Volexity’nin TEMP_HERETIC kod adını verdiği izinsiz giriş seti, saldırıları gerçekleştirmek için Zimbra’daki sıfır gün kusurundan da yararlandı

TAG, “Bu durumda, istismar URL’si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların muhtemelen tehlikeye attığı resmi bir hükümet etki alanında barındırılan bir URL’ye gönderen bir komut dosyasına işaret ediyordu 8 ”

Google ayrıca, tehdit aktörlerinin posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlandıkları ve bu tür uygulamaların kapsamlı bir şekilde denetlenmesinin gerekli olduğu bir modele dikkat çekti ” dedi ]org ” söz konusu The Hacker News ile paylaşılan bir raporda

Son olarak, 25 Ağustos’ta Pakistan’daki bir hükümet kuruluşu bu kusur kullanılarak hedef alındı ​​ve bunun sonucunda Zimbra kimlik doğrulama jetonu “ntcpk” adlı uzak bir alana sızdı

CVE-2023-37580’den yararlanan ikinci tehdit aktörü, güvenlik açığına yönelik bir yamanın 5 Temmuz’da GitHub’a gönderilmesinden kısa bir süre sonra Moldova ve Tunus’taki devlet kuruluşlarını hedef alan Winter Vivern’dir Zimbra tarafından 25 Temmuz 2023’te yayınlanan yamaların bir parçası olarak ele alınmıştır

Eksikliğin başarılı bir şekilde kullanılması, kurbanları özel hazırlanmış bir URL’ye tıklamaları için kandırarak kötü amaçlı komut dosyalarının kurbanların web tarayıcılarında çalıştırılmasına, Zimbra’ya etkili bir şekilde XSS isteği başlatılmasına ve saldırının kullanıcıya geri yansıtılmasına olanak sağlayabilir

Düşman topluluğunun bu yıl Proofpoint ve ESET tarafından Zimbra Collaboration ve Roundcube’daki güvenlik açıklarından yararlanılmasıyla bağlantılı olduğunu belirtmekte fayda var 15 Yaması 41’den önceki sürümleri etkileyen, yansıyan bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır

“Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor

Dört kampanyadan üçü yamanın yayınlanmasından önce gözlemlendi; dördüncü kampanya ise düzeltmelerin yayınlanmasından bir ay sonra tespit edildi

İlk kampanyanın Yunanistan’daki bir devlet kuruluşunu hedef aldığı ve hedeflerine, tıklandığında daha önce Şubat 2022’de EmailThief adlı bir siber casusluk operasyonunda gözlemlenen e-posta hırsızlığı yapan bir kötü amaçlı yazılım gönderen istismar URL’leri içeren e-postalar gönderdiği söyleniyor