Google’ın Tehdit Analiz Grubu (TAG), saldırganların Zimbra e-posta sunucusu’ndaki zero-day zafiyetini kullanarak birçok ülkedeki devlet sistemlerinden hassas verileri çaldığını tespit etti.
Hacktivistler, şu anda CVE-2023-37580 olarak bilinen zafiyeti 29 Haziran’dan bu yana kullanıyor. Zafiyet, 25 Temmuz’da yazılımın 8.8.15 patch 41 sürümünde düzeltilene kadar bilinmiyordu. Zafiyete gelince Zimbra Classic Web Client’te bulunan bir XSS (cross-site scripting) açığı olarak bildirildi.
Google’ın tehdit analistleri, saldırganların şuana kadar Yunanistan, Moldova, Tunus, Vietnam ve Pakistan’daki devlet sistemlerine eriştikleri ve e-posta verilerini, kullanıcı kimlik bilgilerini çaldıklarını açıkladı.
İlk saldırıda saldırganlar, devlet kuruluşlarındaki e-posta verilerini çalmak ve otomatik yönlendirmeye izin vermek amacıyla zararlı URL içeren e-postalar gönderdi.
İkinci saldırı, 11 Temmuz’da “Winter Vivern” olarak bilinen saldırganlar tarafından gerçekleştirildi ve Moldova ile Tunus’taki devlet kuruluşlarını hedef aldı. Bu sefer URL’ler ile hedef sistemlere kötü amaçlı JavaScript yüklendi.
Zimbra, 13 Temmuz’da zafiyetle ilgili bir doküman paylaştı ancak hacker’ların aktif olarak zafiyeti sömürdüğüne dair herhangi bir bilgi içermiyordu.
Üçüncü saldırı ise 20 Temmuz’da başlatıldı ve Vietnam’daki bir devlet kuruluşunu hedef aldı. Bu seferde kurbanları sahte bir web sayfasına yönlendriyorlardı. Zimbra beş gün sonra CVE-2023-37580 için bir yama yayınladı ancak aktif sömürüyle ilgili bilgi içermiyordu.
Google, üç saldırıda da saldırganların devlet sistemlerine sızdığını ve zimbranın güncelleme yayınlamada geç kaldığını belirtti.
Dödrdüncü saldırı Pakistan devlet sistemlerine oldu ve zimbra güncellemeleri yayınlanmış olmasına rağmen saldırganlar kimlik doğrulama bilgilerini çalmayı başardılar.
Google’ın raporu saldırganlar hakkında birçok detayı ifşa etmiyor olsa da bu olay orta düzeydeki güvenlik açıklarının zamanında düzeltilmesinin önemini gösteriyor. Zira sistemde zaten bulunan saldırganlar, bu tür açıkları kendi saldırılarını daha da ileri taşımak için kullanabilirler.
Kaynak: bleepingcomputer.com