هکر ها به صورت فعال در حال استفاده از اکسپلویت Zimbra برای سرقت رمز های عبور هستند.

هکر ها به صورت فعال در حال استفاده از اکسپلویت Zimbra برای سرقت رمز های عبور هستند.

نهاد امنیت سایبری و زیرساخت (CISA)، آسیب پذیری CVE-2022-27824 را به ‘کاتالوگ آسیب پذیری های شناخته شده’ خود اضافه کرده است که در حال حاضر به صورت فعال توسط هکر ها استفاده میشود.

نهاد امنیت سایبری و زیرساخت (CISA)، آسیب پذیری CVE-2022-27824 را به ‘کاتالوگ آسیب پذیری های شناخته شده’ خود اضافه کرده است که در حال حاضر به صورت فعال توسط هکر ها استفاده میشود.
این آسیب پذیری بالا اجازه میدهد تا یک حمله کننده احراز هویت نشده، اطلاعات حساب های کاربری ایمیل را به صورت متن از Zimbra بدون تعامل کاربر به سرقت ببرد.
به صورت خلاصه، یک هکر میتواند از طریق CRLF اینجکشن، Memcache poisoning ایجاد کند و نرم افزار را فریب دهد تا تمام ترافیک IMAP را به حمله کننده، هنگامی که کاربر تلاش کاربر برای لاگین،  ارسال کند.
محققان SonarSource این آسیب پذیری را در 11 مارش 2022 کشف کرده اند و فروشنده محصول یک فیکس منتشر کرده که به مشکل در تاریخ 10 می 2022 اشاره میکند.
گزارش فنی که با افشای SonarSource همراه است، بسیار جامع و کامل است، و با توجه به اینکه یک ماه پس از آنکه فیکس منتشر شده بود موجود بوده است، به هکر ها راهنمایی در جهت اکسپلویت کردن این آسیب پذیری داده است.
اگرچه، همانطور که توسط آخرین کاتولوگ CISA بسیار شناخته شده است، تمامی ادمین ها به روزرسانی های امنیتی که تقریبا برای 3 ماه منتشر شده است را اعمال نکرده اند.
با توجه به این موقعیت، هکر ها در حال حاضر تلاش میکنند تا نقاط آسیب پذیر را شناسایی کرده و حمله کنند. به سرقت بردن اعتبار های حساب های کاربری Zimbra به آن ها امکان دسترسی به سرور ایمیل، راهی برای spear-phising، مهندسی اجتماعی و حملات BEC را امکان پذیر میسازد.
طبق گفته های فروشنده نرم افزار، Zimbra Collaboration توسط بیش از 200 هزار شغل و 1000 نهاد های حساس و موجودیت های دولتی در 140 کشور از جمله آمریکا استفاده میشود.
اضافه کردن CVE-2022-27842 به کاتالوگ آسیب پذیری های اکسپلویت شده فعال، وظیفه تمام نهاد های فدرال در آمریکا را نشان میدهد تا به روزرسانی های امنیتی موجود را تا تاریخ 25 اوت2022 اعمال کنند.
البته نهاد ها و شرکت های غیر فدرال که از Zimbra Collaboration استفاده میکنند و محصولات خود را به روزرسانی نکرده اند باید این کار را فورا انجام دهند، همانطور که هکر ها در حال حمله به اهداف آسیب پذیر هستند.

منبع : www.bleepingcomputer.com