Zimbra’da Kritik Güvenlik Açığı (CVE-2024-45519) İçin PoC Exploit Yayınlandı: Toplu Saldırılar Başladı

Zimbra, dünya genelinde en yaygın kullanılan e-posta ve işbirliği platformlarından biri olarak bilinirken, son zamanlarda kritik bir güvenlik açığı ile karşı karşıya kaldı. CVE-2024-45519 olarak izlenen bu güvenlik açığı, saldırganların hedef sistemleri tamamen ele geçirmelerine olanak tanıyabiliyor. Güvenlik araştırmacısı Parth Malhotra tarafından keşfedilen bu zafiyet, kimlik doğrulama gerektirmemesi nedeniyle yüksek risk taşıyor ve şimdiden toplu saldırılarda kullanıldığı tespit edildi.

If you're using @Zimbra, mass-exploitation of CVE-2024-45519 has begun. Patch yesterday.

Malicious emails are coming from 79.124.49[.]86 and attempting to curl a file from that IP. pic.twitter.com/5CMAuabC1I

— Ivan Kwiatkowski (@JusticeRage) October 1, 2024

Araştırmalar, bu güvenlik açığının temel sebebinin postjournal hizmetindeki read_maps fonksiyonunun, kullanıcılardan gelen verileri popen fonksiyonuna doğrudan geçirmesi olduğunu ortaya çıkardı. Zafiyetin istismarı, saldırganların sunucuda rastgele komutlar çalıştırmasına olanak tanıyor.

Tavsiye edilen adımlar:

• En Son Sürüme Güncelleyin: Zimbra, bu açığı kapatan bir yama yayınladı. BT ekiplerinin bu yamayı derhal uygulamaları gerekiyor.
  
• Postjournal Hizmetini Devre Dışı Bırakın: Bu hizmete ihtiyaç duymayan kuruluşlar, bu hizmeti devre dışı bırakmalı.
  
• Ağ Yapılandırmalarını Gözden Geçirin: Zimbra’nın mynetworks parametresi, yalnızca güvenilir IP adreslerine erişim sağlanacak şekilde yapılandırılmalı.

Bu kritik açığın yaygın olarak istismar edilmesi nedeniyle, tüm Zimbra kullanıcılarının sistemlerini hızla güncellemesi büyük önem taşıyor.