Lỗ hổng cho phép hacker chiếm quyền máy chủ Zimbra

Lỗ hổng cho phép hacker chiếm quyền máy chủ Zimbra

Các nhà nghiên cứu an ninh mạng vừa phát hiện nhiều lỗ hổng trong nền tảng cộng tác email Zimbra, có thể bị khai thác để xâm nhập tài khoản email bằng cách gửi tin nhắn độc hại, thậm chí chiếm quyền kiểm soát hoàn toàn mail server lưu trữ trên hạ tầng đám mây.

Lỗ hổng (CVE-2021-35208 và CVE-2021-35208) được phát hiện trong Zimbra 8.8.15 từ tháng 5/2021. Các biện pháp khắc phục sau đó đã được phát hành cho phiên bản Zimbra 8.8.15 và 9.0.0.

  • CVE-2021-35208 (CVSS: 5,4) – Lỗ hổng Stored XSS trong ZmMailMsgView.java
  • CVE-2021-35209 (Điểm CVSS: 6.1) – Lỗ hổng chuyển hướng Proxy Servlet Open

Nhà nghiên cứu Simon Scannell – người phát hiện lỗ hổng cho biết: “Sự kết hợp của các lỗ hổng này cho phép hacker không xác thực xâm nhập một máy chủ email trực tuyến Zimbra của đơn vị mục tiêu. Từ đó truy cập không hạn chế vào tất cả các email đã gửi và nhận của tất cả nhân viên”.

Zimbra là bộ email, lịch và cộng tác dựa trên đám mây dành cho doanh nghiệp, bao gồm cả phiên bản nguồn mở và phiên bản thương mại với các tính năng bổ sung. Phần mềm được hơn 200.000 doanh nghiệp trên 160 quốc gia sử dụng.

CVE-2021-35208 liên quan đến lỗ hổng XSS trong thành phần Calendar Invite, có thể bị kích hoạt trên trình duyệt người dùng khi xem tin nhắn email chứa payload JavaScript. Lỗ hổng khi thực thi sẽ cấp quyền truy cập vào toàn bộ hộp thư đến cũng như phiên web client, từ đó tiến hành các cuộc tấn công tiếp theo.
Vấn đề bắt nguồn từ việc các web client Zimbra: một máy khách dựa trên Ajax, một máy khách HTML tĩnh và một máy khách được tối ưu hóa cho thiết bị di động – thực hiện việc dọn dẹp nội dung HTML của các email đến trên phía máy chủ và theo cách cho phép hacker chèn JavaScript giả mạo.

“Nhược điểm của việc sử dụng tính năng dọn dẹp phía máy chủ là cả ba ứng dụng khách có thể chuyển đổi HTML đáng tin cậy của email sau đó hiển thị theo cách riêng”, Scannell cho biết. “Việc chuyển đổi các đầu vào HTML đã được ‘dọn dẹp’ có thể dẫn đến lỗi HTML, sau đó là các cuộc tấn công XSS”.

CVE-2021-35208 liên quan đến cuộc tấn công giả mạo yêu cầu phía máy chủ (SSRF), trong đó một thành viên xác thực của một đơn vị có thể xâu chuỗi lỗ hổng với vấn đề XSS nói trên để chuyển hướng máy khách HTTP mà Zimbra sử dụng đến một URL tùy ý và trích xuất thông tin nhạy cảm từ đám mây, bao gồm mã thông báo truy cập Google Cloud API và thông tin xác thực IAM từ AWS, từ đó xâm nhập hệ thống.

“Zimbra muốn cảnh báo khách hàng của mình về nguy cơ lỗ hổng SSRF trong Proxy Servlet. Nếu servlet này được định cấu hình cho phép một miền cụ thể và miền đó phân giải thành địa chỉ IP nội bộ (chẳng hạn như 127.0.0.1), hacker có thể truy cập các dịch vụ chạy trên một cổng khác trên cùng một máy chủ”, thông báo của Zimbra cho biết.

Nguồn The Hacker News

5/5 - (1 bình chọn)
Vui lòng liên hệ hotline 0379768688 để được hỗ trợ, chúng tôi ngừng cho phép đặt hàng trực tuyến tại Website.