Serverul Zimbra sub un posibil atac din cauza unui nou bug

de | august 9, 2021 | Știri de securitate cibernetică

Serverul Zimbra

Potrivit cercetătorilor, serverul de webmail Zimbra conține două puncte slabe care ar putea permite unui atacator să scotocească prin inbox-ul și outbox-ul tuturor angajaților din toate organizațiile care apelează la această aplicație de colaborare utilizată pe scară largă.

Având în vedere popularitatea Zimbra și natura delicată a numeroaselor mesaje pe care le procesează, SonarSource (o companie care dezvoltă software open-source pentru calitatea și securitatea continuă a codului) a descris situația ca fiind „drastică”. Peste 200.000 de companii, o mie de instituții guvernamentale și financiare și sute de milioane de consumatori folosesc zilnic aplicațiile de e-mail și de colaborare ale Zimbra pentru a face schimb de e-mailuri, potrivit site-ului web al companiei.

Conform raportului, „Atunci când atacatorii obțin acces la contul de e-mail al unui angajat, acest lucru are adesea implicații drastice asupra securității. Pe lângă informațiile și documentele confidențiale transmise, un cont de e-mail este adesea legat de alte conturi sensibile care permit resetarea parolei. Așa că gândiți-vă, ce ar putea face un atacator cu inbox-ul dumneavoastă?”.

În primul rând, ar avea putere deplină asupra conturilor. Cercetătorii de la SonarSource au identificat două vulnerabilități în codul open-source Zimbra, care pot fi legate între ele pentru a oferi atacatorilor acces complet la serverele de e-mail Zimbra. Toți angajații lor au trimis și primit e-mailuri.

Un e-mail malițios ar putea conține o aplicație JavaScript creată cu atenție

Primul punct slab, descoperit de Simon Scannell, un cercetător de vulnerabilități de la SonarSource, ar putea fi exploatat prin simpla deschidere a unui e-mail malițios conținând o aplicație JavaScript. În plus, un bug de scripting cross-site (XSS) (CVE-2021-35208) s-ar putea activa în browserul victimei dacă aceasta ar deschide un astfel de e-mail modificat. Potrivit SonarSource, atunci când aplicația este executată, aceasta oferă atacatorului acces la e-mailurile victimei și la sesiunea de webmail.

De asemenea, aceștia au afirmat că ar putea servi ca punct de pornire pentru alte atacuri: „Astfel, alte caracteristici ale Zimbra ar putea fi accesate și alte atacuri ar putea fi lansate.”

A doua problemă este ocolirea listei de permisiuni care duce la o falsificare a cererilor la nivelul serverului (SSRF, server-side request forgery), rezultand o puternică vulnerabilitate (CVE-2021-35209) care poate fi exploatată printr-un cont autentificat aparținând unui membru al unei organizații vizate și având orice rol permis.

În cazul în care cele două probleme sunt combinate, un atacator de la distanță poate obține informații valoroase de la instanțele de infrastructură cloud, cum ar fi Google Cloud API Tokens sau acreditările AWS IAM.

„A combination of these vulnerabilities could enable an unauthenticated attacker to compromise a complete Zimbra webmail server of a targeted organization.” -Simon Scannel.

„O combinație a acestor vulnerabilități ar putea permite unui atacator neautentificat să compromită un întreg server de webmail Zimbra al unei organizații vizate.” – Simon Scannel.

Ce este Zimbra?

Zimbra este o platformă de e-mail, calendar și colaborare în cloud pentru companii, care vine atât în versiune open-source, cât și în versiune comercială, cu capacități suplimentare, cum ar fi un conector API propriu pentru sincronizarea corespondenței, a calendarului și a contactelor cu Microsoft Outlook, printre altele.

Este utilizat de peste 200.000 de companii din 160 de țări.

O configurare greșită de 80 de milioane de dolari

S-ar putea să vi se pară cunoscut: cercetătorii au citat un hacker Capital One din 2019 care a folosit o slăbiciune SSRF asemănătoare. Concret, atacatorul – un fost inginer AWS – a plecat cu datele personale a peste 100 de milioane de persoane datorită unei configurații greșite în cloud. FBI-ul l-a prins, dar a fost o eroare SSRF costisitoare: Capital One a fost amendată cu 80 de milioane de dolari de către autoritățile bancare federale pentru că nu a respectat protocoalele adecvate de securitate cibernetică.

SonarSource a explicat că „vulnerabilitățile SSRF au devenit o clasă de bug-uri din ce în ce mai periculoasă, în special pentru aplicațiile native de cloud”. Cu toate acestea, compania de securitate a declarat că nu știe dacă vulnerabilitatea a afectat Zimbra Cloud, o soluție SaaS care folosește AWS.

Potrivit lui Scannell, slăbiciunea SSRF permite unui atacator să trimită cereri HTTP către orice gazdă sau port. El a fost citat adăugând: „Combinat cu încălcarea protocolului, acest lucru ar putea duce la RCE. De asemenea, ar putea permite unui atacator să fure metadate extrem de sensibile, cum ar fi token-urile de acces la contul asociat cu instanța care ar fi fost exploatată”, spune cercetătorul.

După cum s-a indicat anterior, un atacator ar putea obține token-uri de acces de la instanțele cloud, cum ar fi token-urile API Google Cloud sau credențialele AWS IAM.

Echipa Zimbra a soluționat ambele probleme cu Patch 18 pentru seria 8.8.15 și Patch 16 pentru seria 9.0. Cu toate acestea, potrivit SonarSource, versiunile anterioare ale ambelor subproduse pot fi încă vulnerabile.

Problemele au fost raportate la Zimbra pe 20 și 22 mai, iar actualizările pentru seriile 8.8.15 și 9.0 au fost publicate pe 28 iunie. Potrivit lui Scannell, vulnerabilitățile, ambele evaluate ca fiind de gravitate medie, ar fi putut avea consecințe semnificative: „Ambele vulnerabilități funcționează în configurația implicită și afectează nucleul Zimbra”, spune cercetătorul.

Cuvinte de final

Având în vedere numărul de probleme pe care Zimbra le-a avut în spate, este mai mult ca sigur că atacatorii vor încerca să exploateze din nou aceste defecte.

În aprilie, un bug Zimbra, CVE-2019-9670 din Synacor Zimbra Collaboration Suite (XXE), a fost una dintre cele cinci vulnerabilități care au făcut obiectul unui atac al unui stat-națiune și care a declanșat o alertă a NSA privind o campanie APT29 care urmărea să obțină acreditări și multe altele.

Grupul de atac APT29, asociat cu Rusia, pare să aibă o preferință pentru Zimbra: înainte de campania din aprilie, grupul cibercriminal a vizat cercetarea farmaceutică din țările occidentale în iulie 2020, cel mai probabil încercând să fure cercetări pentru vaccinil anti COVID-19. Exploituri pentru vulnerabilități cunoscute, inclusiv una pentru Zimbra, au fost folosite în cazul operațiunii de preluare (CVE-2019-9670).

Surse:

by Andreea Popa

Content writer for Attack Simulator, delivering your daily dose of awareness for cyber security! Love to write passionately about any subject and my mainly inspiration are people's stories. You can also find me on social media, for some more friendly things!

Nu există niciun motiv pentru a amâna instruirea angajaților.

Solicitați o ofertă bazată pe nevoile organizației dvs. și începeți să construiți o infrastructură puternică de securitate cibernetică chiar astăzi.