با توجه به وجود آسیب پذیری Zero-day درZimbra Collaboration Suite version 8.8.15 و بهره برداری از آن در حملات، این شرکت به مدیران شبکه هشدار داد که برای رفع موقت خطر این آسیب پذیری به صورت دستی، اقدام نمایند.
این سرویس ارائه دهنده ایمیل و سایر ابزارهای سازمانی بوده که اکثر میل سرورهای بومی(ایرانی) نیز از این نرم افزار با پوسته فارسی استفاده می کنند. این آسیب پذیری امنیت داده های موجود در سرورهای Zimbra را تحت شعاع قرار میدهد.
به گفته شرکتهای امنیتی این آسیب پذیری می تواند به طور بالقوه درستی و یکپارچگی داده های موجود در سرور شما را در معرض خطر قرار دهد. این موضوع بسیار جدی بوده و نیازمند اقدام فوری است.
آسیب پذیری مذکور توسط تیم Google Threat Analysis در 13 جولای کشف و اعلام شد.
هنوز وصله ای برای این آسیب پذیری منتشر نشده است.
تا این لحظه Zimbra وصله ای برای رفع این آسیب پذیری تا زمان ارائه آپدیت امنیتی زمان بندی شده این ماه خود، ارائه نکرده است و از کاربران خود خواسته که به صورت دستی روی تمامی Mailboxها راهکارهای پیشگیرانه را اعمال کنند.
این شرکت از کاربران خود خواسته که به صورت اضطراری مراحل زیر را دنبال نمایند:
1- گرفتن بک آپ از فایل opt/Zimbra/webapps/Zimbra/m/momoveto
2- ویرایش این فایل و رفتن به خط شماره 40
3- تغییر و آپدیت مقدار پارامترها به شکل زیر
</”input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}>
4- قبل از ویرایش خط باید به شکل زیر نشان داده شود:
</”input name=”st” type=”hidden” value=”${param.st}>
5- بعد از ویرایش خط به شکل زیر نشان داده خواهد شد:
</”input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}>
Zimbra: یک هدف ایده آل برای مهاجمان سایبری
خطر عدم نصب وصله ها و اقدامات امنیتی جدی است. بهره برداری از محصولات Zimbra در بین مهاجمان سایبری APT و گروههای تهدید سایبری دیگر بسیار رایج است. ابتدای امسال از آسیب پذیری Zero-day موجود در Zimbra برای جاسوسی از سازمانهای انرژی و پزشکی و جمع آوری اطلاعات سواستفاده شده بود. ماههای قبلتر و در اواخر سال 2022 نیز مهاجمان سایبری از کدهای اکسپلویت سرورهای ایمیل Zimbra نیز برای اجرای کد از راه دور استفاده کردند و همچنان چنین بهره برداری هایی ادامه خواهد داشت.
منبع:
https://www.darkreading.com