Các nhà nghiên cứu an ninh mạng đã phát hiện ra nhiều lỗ hổng bảo mật trong phần mềm cộng tác email Zimbra có khả năng bị khai thác để xâm phạm tài khoản email bằng cách gửi thư độc hại và thậm chí đạt được quyền kiểm soát hoàn toàn máy chủ thư khi được lưu trữ trên cơ sở hạ tầng đám mây.
Các sai sót – được theo dõi là CVE-2021-35208 và CVE-2021-35208 – đã được phát hiện và báo cáo trong Zimbra 8.8.15 bởi các nhà nghiên cứu từ nhà cung cấp giải pháp bảo mật và chất lượng mã SonarSource vào tháng 5 năm 2021. Các vấn đề đã xảy ra kể từ đó thoát ra trong phiên bản Zimbra 8.8.15 Bản vá 23 và 9.0.0 Bản vá 16.
- CVE-2021-35208 (Điểm CVSS: 5,4) – Lỗ hổng XSS được lưu trữ trong ZmMailMsgView.java
- CVE-2021-35209 (Điểm CVSS: 6.1) – Lỗ hổng chuyển hướng mở Proxy Servlet
“Sự kết hợp của các lỗ hổng này có thể cho phép kẻ tấn công không được xác thực xâm nhập một máy chủ email trực tuyến Zimbra hoàn chỉnh của một tổ chức được nhắm mục tiêu” nói Nhà nghiên cứu lỗ hổng SonarSource, Simon Scannell, người đã xác định các điểm yếu bảo mật. “Kết quả là, kẻ tấn công sẽ có quyền truy cập không hạn chế vào tất cả các email đã gửi và nhận của tất cả nhân viên.”
Zimbra là bộ email, lịch và cộng tác dựa trên đám mây dành cho doanh nghiệp và có sẵn cả phiên bản nguồn mở và phiên bản được hỗ trợ thương mại với các tính năng bổ sung như API trình kết nối độc quyền để đồng bộ hóa thư, lịch và danh bạ với Microsoft Outlook , trong số những người khác. Của nó được sử dụng bởi hơn 200.000 doanh nghiệp trên 160 quốc gia.
CVE-2021-35208 liên quan đến tập lệnh nhiều trang (XSS) lỗ hổng trong thành phần Lời mời theo lịch có thể được kích hoạt trong trình duyệt của nạn nhân khi xem thông báo email được tạo đặc biệt chứa tải trọng JavaScript, khi được thực thi, cấp quyền truy cập vào toàn bộ hộp thư đến của mục tiêu cũng như phiên ứng dụng khách web, sau đó có thể bị lạm dụng để phát động các cuộc tấn công tiếp theo.
Vấn đề bắt nguồn từ thực tế là các máy khách web Zimbra – máy khách trên máy tính để bàn dựa trên Ajax, máy khách HTML tĩnh và máy khách được tối ưu hóa cho thiết bị di động – thực hiện việc khử trùng nội dung HTML của các email đến ở phía máy chủ và theo cách điều đó cho phép kẻ xấu đưa mã JavaScript giả mạo.
“Nhược điểm của việc sử dụng tính năng vệ sinh phía máy chủ là cả ba ứng dụng khách có thể chuyển đổi HTML đáng tin cậy của email sau đó để hiển thị nó theo cách riêng của chúng”, Scannell nói. “Việc chuyển đổi các đầu vào HTML đã được khử trùng có thể dẫn đến hỏng HTML và sau đó dẫn đến các cuộc tấn công XSS.”
Mặt khác, CVE-2021-35208 liên quan đến giả mạo yêu cầu phía máy chủ (SSRF). dẫn đến sự thỏa hiệp của nó.
“Zimbra muốn cảnh báo khách hàng của mình rằng họ có thể đưa ra lỗ hổng bảo mật SSRF trong Proxy Servlet”, công ty lưu ý trong lời khuyên của nó. “Nếu servlet này được cấu hình để cho phép một miền cụ thể (thông qua zimbraProxyAllowedDomains cài đặt cấu hình) và miền đó phân giải thành địa chỉ IP nội bộ (chẳng hạn như 127.0.0.1), kẻ tấn công có thể truy cập các dịch vụ đang chạy trên một cổng khác trên cùng một máy chủ, thông thường sẽ không bị lộ công khai. “