Tehdit aktörleri, Zimbra'daki CVE-2022-41352 güvenlik açığından yararlanarak, yaklaşık 900 sunucuyu ele geçirdi

Tehdit aktörleri, Zimbra'daki CVE-2022-41352 güvenlik açığından yararlanarak, yaklaşık 900 sunucuyu ele geçirdi

Yaklaşık 2 hafta önce Rapid7 güvenlik araştırmacıları, Zimpra’nın Collaboration Suite ürünü üzerinde uzaktan kod yürütülmesine olanak sağlayan CVE-2022-41352 referansına sahip sıfırıncı gün açığından tehdit aktörlerinin yararlanabileceği konusunda uyarmıştı.

Daha sonrasında ise Rapid7 tarafından, CVE-2022-41352 ile ilgili PoC kodları ve diğer teknik ayrıntılarının yer aldığı bir dökümantasyonu AttackerKB üzerinde yayınlamıştı. Güvenlik zaafiyetinin, Zimbra’nın antivirus motoru Amavis’in gelen e-postaları taramak için kullandığı bir yöntemden kaynaklandığı belirtiliyor.

Zimbra kullanıcılarına göre ise bu güvenlik açığı Eylül 2020’nin başından beri aktif olarak kullanılıyor. Tehdit aktörleri, zararlı kodları barındıran bir dosyayı ek halinde e-posta ile göndererek, jsp dosyalarını web istemcisi/genel dizine yüklemek için bu açıktan yararlanıyor.

İlk Saldırı dalgası: 44 sunucu ele geçirildi

Kaspersky güvenlik araştırmacılarına göre bilinmeyen bazı APT grup yada gruplarının,  ilgili güvenlik açığının Zimbra forumlarında belirtilmesinden sonra CVE-2022-41352 güvenlik açığından aktif olarak yararlanmaya başlanmış. Araştırmacılar, ilk saldırı dalgası sırasında Türkiye ve Hindistan’daki bazı savunmasız Zimbra sunucuları Eylük ayında hedef alınmış. Ancak, ilk saldırı dalgası olmasına karşın 44 sunucunun ele geçirildiği saptanmış.

İkinci saldırı dalgası: 832 sunucu ele geçirildi

Güvenlik açığı ortaya çıkıp, herkes tarafından bilinir hale geldikten sonra tehdit aktörlerinin vites büyülterek daha hızlı hareket etmelerine sebep olmuş. İlk saldırılara göre daha rastgele hedefler üzerinden gidilmiş ve 832 sunucu tehdit aktörleri tarafıdan ele geçirilmiş.

Bunlar ilginizi çekebilir!

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Romanya seçimleri: AB, TikTok'un verileri dondurmasını ve saklamasını emretti

Avrupa Komisyonu, Romanya'da devam eden seçimler sırasında gizliliği kaldırılmış istihbarat belgelerinin ardından Dijital Hizmetler Yasası kapsamında TikTok'un verileri dondurmasını ve saklamasını emretti. Görevden ayrılan Cumhurbaşkanı Klaus Iohannis tarafından 28 Kasım 2024 tarihli toplantıda alınan karar doğrultusunda gizliliği kaldırılmış istihbarat belgeleri, 5 Aralık Çarşamba günü resmi olarak

By Editor
Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan şifreli mesajlaşma servisi MATRIX kapatıldı

Suçlular tarafından kullanılan "karmaşık" bir şifreli mesaşlaşma servisi olan MATRIX, Fransız ve Hollandalı yetkililerin yer aldığı ortak bir soruşturma ekibi tarafından çökertildi. Europol tarafından verilen bilgilere göre MATRIX adı verilen ve suçlular için oluşturulan mesajlaşma servisi, ilk olarak 2021 yılında Hollandalı bir gazetecinin öldürülmesinden hüküm giymiş bir suçlunun

By Editor