Zimbra server’da zero-day tespit edildi. XSS güvenlik açığı Avrupa’da devlet kuruluşlarını hedef alan saldırılarda aktif olarak kullanılıyor. Araştırmacılar, “İstismarın kullanılabilir bir yaması yok ve bir CVE atanmamıştır (yani, bu bir sıfır gün güvenlik açığıdır),” dedi. “Volexity, Zimbra’nın en son sürümlerinin (8.8.15 P29 ve P30) savunmasız kaldığını onayladı ve test etti ancak 9.0.0 sürümünün t etkilenmediğini gösteriyor.”
Zafiyetin istismar edilmesi durumunda:
- Bir posta kutusuna kalıcı erişime izin veriyor ve cookie’ler sızdırabiliyor.
- Kişilerine phishing mailleri gönderilebiliyor.
- Kötü amaçlı kod, saldırganların kurbanların posta kutularındaki e-postaları gözden geçirmesine ve e-posta içeriklerini ve eklerini saldırgan kontrollü sunuculara sızdırmasına izin veriyor.
Volexity, bu sıfır günden yararlanan saldırıları engellemek için aşağıdaki önemlerin alınmasını tavsiye ediyor
- Buradaki cvs dosyasındaki liste, posta ağ geçidi ve ağ düzeyinde engellenmelidir.
- Zimbra kullanıcıları, şüpheli erişim ve yönlendirmeler için geçmiş yönlendiren verilerini analiz etmelidir. Bu günlükler için varsayılan konum /opt/zimbra/log/access*.log adresinde bulunabilir.
- Kullanıcılar, 8.8.15’in güvenli bir sürümü olmadığı için Zimbra kullanıcıları 9.0.0 sürümüne yükseltmeleri gerekmektedir.
Kaynak: bleepingcomputer.com