Siber Muhbir

Google Tehdit Analizi Grubu (TAG), paylaşılan bir raporda, "Bu etkinliğin çoğu, ilk düzeltmenin GitHub'da herkese açık hale gelmesinden sonra gerçekleşti" dedi.

CVE-2023-37580 (CVSS puanı: 6.1) olarak izlenen kusur, 8.8.15 Yama 41'den önceki sürümleri etkileyen yansıtılmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır. 25 Temmuz 2023'te yayınlanan yamaların bir parçası olarak Zimbra tarafından ele alındı.

Eksikliğin başarılı bir şekilde kötüye kullanılması, kurbanların web tarayıcısında kötü amaçlı komut dosyalarının yürütülmesine izin verebilir, onları özel hazırlanmış bir URL'ye tıklamaları için kandırarak, Zimbra'ya XSS isteğini etkili bir şekilde başlatarak ve saldırıyı kullanıcıya geri yansıtarak izin verebilir.

Araştırmacısı Clément Lecigne'nin hatayı keşfedip bildirdiği Google TAG, Zimbra'nın bir tavsiye yayınlamasından en az iki hafta önce, 29 Haziran 2023'ten itibaren birden fazla kampanya dalgası keşfettiğini söyledi.

Dört kampanyadan üçü yamanın yayınlanmasından önce gözlemlendi, dördüncü kampanya ise düzeltmelerin yayınlanmasından bir ay sonra tespit edildi.

İlk kampanyanın Yunanistan'daki bir devlet kurumunu hedef aldığı ve hedeflerine istismar URL'leri içeren e-postalar gönderdiği ve tıklandığında daha önce Şubat 2022'de EmailThief adlı bir siber casusluk operasyonunda gözlemlenen e-posta çalan bir kötü amaçlı yazılım gönderdiği söyleniyor.

Volexity'nin kod adını TEMP_HERETIC olarak adlandırdığı izinsiz giriş seti, saldırıları gerçekleştirmek için Zimbra'daki o zamanki sıfır gün kusurundan da yararlandı.

CVE-2023-37580'den yararlanan ikinci tehdit aktörü, güvenlik açığı için bir yamanın 5 Temmuz'da GitHub'a gönderilmesinden kısa bir süre sonra Moldova ve Tunus'taki devlet kurumlarını hedef alan Winter Vivern'dir.

Düşman kolektifin, bu yıl Proofpoint ve ESET tarafından Zimbra Collaboration ve Roundcube'daki güvenlik açıklarından yararlanılmasıyla bağlantılı olduğunu belirtmekte fayda var.

TAG, yama 25 Temmuz'da Vietnam'daki bir devlet kuruluşuna ait kimlik bilgileri için kimlik avına gönderilmeden önce hatayı silahlandıran üçüncü, kimliği belirsiz bir grup tespit ettiğini söyledi.

TAG, "Bu durumda, istismar URL'si, kullanıcıların web postası kimlik bilgileri için bir kimlik avı sayfası görüntüleyen ve çalınan kimlik bilgilerini, saldırganların muhtemelen tehlikeye attığı resmi bir hükümet etki alanında barındırılan bir URL'ye gönderen bir komut dosyasına işaret etti" dedi.

Son olarak, Pakistan'daki bir devlet kurumu 25 Ağustos'ta kusur kullanılarak hedef alındı ve Zimbra kimlik doğrulama belirtecinin "ntcpk[.] org."

Google ayrıca, tehdit aktörlerinin posta sunucularındaki XSS güvenlik açıklarından düzenli olarak yararlandığı ve bu tür uygulamaların kapsamlı bir şekilde denetlenmesini gerektiren bir modele dikkat çekti.

TAG, "CVE-2023-37580'den yararlanan en az dört kampanyanın keşfi, hatanın ilk kez halka açılmasından üç kampanya sonra, kuruluşların posta sunucularına mümkün olan en kısa sürede düzeltmeler uygulamasının önemini gösteriyor" dedi.

"Bu kampanyalar aynı zamanda saldırganların, düzeltmenin depoda olduğu ancak henüz kullanıcılara yayınlanmadığı güvenlik açıklarından fırsatçı bir şekilde yararlanmak için açık kaynak depolarını nasıl izlediğini de vurguluyor."