Pazartesi, Şubat 10, 2025
Ana SayfaTeknoloji HaberleriSaldırı altındaki yamasız Zimbra kusuru, bilgisayar korsanlarının arka kapı sunucularına izin veriyor

Saldırı altındaki yamasız Zimbra kusuru, bilgisayar korsanlarının arka kapı sunucularına izin veriyor

Saldırı altındaki yamasız Zimbra kusuru, bilgisayar korsanlarının arka kapı sunucularına izin veriyor

Zimbra İşbirliği yazılımındaki yama uygulanmamış bir kod yürütme güvenlik açığı, arka kapı sunucularına yönelik saldırıları kullanan saldırganlar tarafından etkin bir şekilde sömürülmektedir.

Saldırılar, bir Zimbra müşterisinin birkaç gün sonra şirketin Amavis spam filtreleme motorunu çalıştıran bir sunucunun kötü amaçlı bir ek içeren bir e-postayı işlediğini bildirmesiyle 7 Eylül’den sonra başladı. Tarayıcı, saniyeler içinde kötü amaçlı bir Java dosyasını sunucuya kopyaladı ve ardından onu çalıştırdı. Bununla saldırganlar, daha sonra oturum açmak ve sunucunun kontrolünü ele geçirmek için kullanabilecekleri bir web kabuğu kurmuşlardı.

Zimbra henüz güvenlik açığını gideren bir yama yayınlamadı. Bunun yerine şirket, müşterilere pax olarak bilinen bir dosya arşivleyicisinin kurulu olduğundan emin olmalarını tavsiye eden bu kılavuzu yayınladı. Pax yüklenmediği sürece Amavis, gelen ekleri, hiçbir zaman giderilmeyen bilinen güvenlik açıklarına sahip alternatif bir arşivleyici olan cpio ile işler.

Zimbra çalışanı Barry de Graaff, “Pax paketi kurulmazsa, Amavis cpio kullanmaya geri dönecek” dedi. “Ne yazık ki geri dönüş kötü bir şekilde uygulanıyor (Amavis tarafından) ve kimliği doğrulanmamış bir saldırganın Zimbra webroot dahil olmak üzere Zimbra sunucusunda dosyalar oluşturmasına ve üzerine yazmasına izin verecek.”

Gönderi, pax’in nasıl kurulacağını açıklamaya devam etti. Yardımcı program, Linux’un Ubuntu dağıtımlarında varsayılan olarak yüklü olarak gelir, ancak diğer dağıtımların çoğunda manuel olarak kurulmalıdır. Zimbra güvenlik açığı CVE-2022-41352 olarak izlenir.

Sıfır gün güvenlik açığı, cpio’da bilinen bir dizin geçiş güvenlik açığı olan CVE-2015-1197’nin bir yan ürünüdür. Güvenlik firması Rapid7 araştırmacıları, yakın zamanda, kusurun yalnızca Zimbra veya başka bir ikincil uygulama güvenilmeyen arşivleri çıkarmak için cpio kullandığında kullanılabileceğini söyledi.

Rapid7 araştırmacısı Ron Bowes şunları yazdı:

Bu güvenlik açığından yararlanmak için bir saldırgan bir e-posta gönderir. .cpio, .tarveya .rpm etkilenen bir sunucuya. Amavis kötü amaçlı yazılım olup olmadığını denetlediğinde, cpio dosyayı çıkarmak için. Dan beri cpio güvenilmeyen dosyalarda güvenli bir şekilde kullanılabilecek bir modu yoktur, saldırgan, dosya sistemindeki Zimbra kullanıcısının erişebileceği herhangi bir yola yazabilir. En olası sonuç, saldırganın, başka yollar da mevcut olsa da, uzaktan kod yürütme elde etmek için web köküne bir kabuk yerleştirmesidir.

Bowes, CVE-2022-41352 için iki koşulun olması gerektiğini açıklığa kavuşturdu:

  1. Güvenlik açığı bulunan bir sürümü cpio temel olarak her sistemde olduğu gibi kurulmalıdır (bkz. CVE-2015-1197)
  2. bu pax yardımcı program gerekir olumsuzluk Amavis’in tercih ettiği gibi kurulabilir pax ve pax savunmasız değil

Bowes, CVE-2022-41352’nin iki ay önce aktif olarak istismar edilen bir başka Zimbra güvenlik açığı olan CVE-2022-30333 ile “etkili bir şekilde aynı” olduğunu söyledi. CVE-2022-41352 istismarları cpio ve tar sıkıştırma formatlarına dayalı dosyalar kullanırken, eski saldırılar tar dosyalarından yararlanıyordu.

Geçen ayki gönderide, Zimbra’dan de Graaff, şirketin pax’ı Zimbra’nın bir gerekliliği haline getirmeyi planladığını söyledi. Bu, cpio’ya olan bağımlılığı ortadan kaldıracaktır. Ancak bu arada, güvenlik açığını azaltmak için tek seçenek pax yüklemek ve ardından Zimbra’yı yeniden başlatmaktır.

Güvenlik firması Flashpoint’ten araştırmacılar, o zaman bile, teorik veya başka bir şekilde en azından bir miktar risk kalabilir, diye uyardı.

Şirket araştırmacıları, “Zimbra İşbirliği örnekleri için yalnızca ‘pax’ paketinin yüklenmediği sunucular etkilendi” diye uyardı. “Ancak diğer uygulamalar Ubuntu’da da cpio kullanabilir. Bununla birlikte, şu anda diğer saldırı vektörlerinden haberimiz yok. Satıcı, 2.13 sürümünde CVE-2015-1197’yi düzeltilmiş olarak açıkça işaretlediğinden, Linux dağıtımları bu güvenlik açığı yamalarını dikkatli bir şekilde ele almalıdır—ve sadece onları geri döndürmek değil.”

RELATED ARTICLES

Popüler Konular