Zimbra’da güvenlik açığı

Zimbra Collaboration paketinin kurulu olduğu sunucularda, saldırganlar, bir arşiv açma aracını kullanarak saldırı düzenliyor.

Kaspersky uzmanları, Zimbra Collaboration yazılımında geçtiğimiz günlerde keşfedilen CVE-2022-41352 güvenlik açığının, bilinmeyen APT gruplarınca kötüye kullanıldığını ortaya çıkardı. Bu gruplardan en az biri Orta Asya’da güvenlik açığı bulunan sunuculara saldırıyor.

CVE-2022-41352 ne ve neden bu kadar tehlikeli?

Bu güvenlik açığı, Zimbra Collaboration paketinin bir parçası olan Amavis içerik filtresinin kullandığı arşiv açmaya yardımcı olan cpio adlı programda keşfedildi. Saldırganlar, içinde bir web-shell (kabuk) bulunan kötü amaçlı bir .tar arşivi oluşturabilir ve bunu, güvenlik açığı olan Zimbra Collaboration yazılımına sahip bir sunucuya gönderebilir. Amavis filtresi bu arşivi denetlemeye başladığında, web-shelli genel dizinlerden birine yönlendiren cpio yardımcı programını açıyor. Bu durumda, saldırganların sadece web-shelleri çalıştırmaları ve saldırıya uğrayan sunucuda rastgele komut yürütmeleri gerekiyor. Başka bir deyişle, bu güvenlik açığı, tarfile modülündeki güvenlik açığına benziyor.

Güvenlik açığının ayrıntılı teknik açıklamasına Securelist’teki gönderiden ulaşabilirsiniz. Ayrıca uzmanlarımızın araştırdığı saldırılarda, saldırganların web-shellerini yerleştirdikleri dizinlerin listesini blog yazısında bulabilirsiniz.

Kendinizi korumanın yolları

14 Ekim’de Zimbra, kurulum talimatlarıyla birlikte bir yama yayınladı. Güvenlik açığından korunmak için alınacak ilk mantıklı adım, buradan ulaşılabilen son güncellemeleri yüklemek. Herhangi bir nedenle bu yamayı yükleyemiyorsanız, geçici bir çözüm mevcut: Henüz cpio’nun yamalı bir sürümü olmasa da güvenlik açığı bulunan bir sunucuya pax yardımcı programı yükleyerek saldırıyı önleyebilirsiniz. Bu durumda, Amavis .tar arşivlerini açmak için cpio yerine pax kullanacak. Ancak, bunun gerçek bir çözüm olmadığını hatırlatmakta fayda var. Teorik olarak, saldırganlar cpio’dan yararlanmanın başka bir yolunu bulabilirler.

Bu güvenlik açığından dolayı saldırıya uğradığınızdan şüpheleniyorsanız veya Securelist‘teki dizinlerden birinde web-shell ile karşılaşırsanız, uzmanlarımız olay müdahalesi uzmanlarıyla iletişime geçmenizi öneriyor. Saldırganlar, diğer hizmet hesaplarına çoktan erişmiş veya arka kapılar kurmuş bile olabilir. Bu durum saldırganlara, web-shell kaldırılsa bile saldırıya uğrayan sisteme yeniden erişim fırsatı veriyor.

Kaspersky güvenlik çözümleri, CVE-2022-41352 güvenlik açığından yararlanma girişimlerini başarıyla algılar ve engeller.

İpuçları