Tehdit aktörleri, Zimbra'daki CVE-2022-41352 güvenlik açığından yararlanarak, yaklaşık 900 sunucuyu ele geçirdi

Yaklaşık 2 hafta önce Rapid7 güvenlik araştırmacıları, Zimpra’nın Collaboration Suite ürünü üzerinde uzaktan kod yürütülmesine olanak sağlayan CVE-2022-41352 referansına sahip sıfırıncı gün açığından tehdit aktörlerinin yararlanabileceği konusunda uyarmıştı.

Daha sonrasında ise Rapid7 tarafından, CVE-2022-41352 ile ilgili PoC kodları ve diğer teknik ayrıntılarının yer aldığı bir dökümantasyonu AttackerKB üzerinde yayınlamıştı. Güvenlik zaafiyetinin, Zimbra’nın antivirus motoru Amavis’in gelen e-postaları taramak için kullandığı bir yöntemden kaynaklandığı belirtiliyor.

Zimbra kullanıcılarına göre ise bu güvenlik açığı Eylül 2020’nin başından beri aktif olarak kullanılıyor. Tehdit aktörleri, zararlı kodları barındıran bir dosyayı ek halinde e-posta ile göndererek, jsp dosyalarını web istemcisi/genel dizine yüklemek için bu açıktan yararlanıyor.

İlk Saldırı dalgası: 44 sunucu ele geçirildi

Kaspersky güvenlik araştırmacılarına göre bilinmeyen bazı APT grup yada gruplarının,  ilgili güvenlik açığının Zimbra forumlarında belirtilmesinden sonra CVE-2022-41352 güvenlik açığından aktif olarak yararlanmaya başlanmış. Araştırmacılar, ilk saldırı dalgası sırasında Türkiye ve Hindistan’daki bazı savunmasız Zimbra sunucuları Eylük ayında hedef alınmış. Ancak, ilk saldırı dalgası olmasına karşın 44 sunucunun ele geçirildiği saptanmış.

İkinci saldırı dalgası: 832 sunucu ele geçirildi

Güvenlik açığı ortaya çıkıp, herkes tarafından bilinir hale geldikten sonra tehdit aktörlerinin vites büyülterek daha hızlı hareket etmelerine sebep olmuş. İlk saldırılara göre daha rastgele hedefler üzerinden gidilmiş ve 832 sunucu tehdit aktörleri tarafıdan ele geçirilmiş.