《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > Zimbra新漏洞或造成20萬(wàn)家企業(yè)數(shù)據(jù)泄漏

Zimbra新漏洞或造成20萬(wàn)家企業(yè)數(shù)據(jù)泄漏

2021-07-30
來(lái)源:安全牛

  Zimbra是一套開(kāi)源協(xié)同辦公套件,包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng)作。它通過(guò)將終端用戶的信息和活動(dòng)連接到私有云中,為用戶提供了最具創(chuàng)新性的消息接收體驗(yàn),因此每天有超過(guò)20萬(wàn)家企業(yè)和1000多家政府、金融機(jī)構(gòu)使用Zimbra與數(shù)百萬(wàn)用戶交換電子郵件。

  SonarSource的專家近期披露了開(kāi)源 Zimbra代碼中的兩個(gè)漏洞。這些漏洞可能使未經(jīng)身份驗(yàn)證的攻擊者破壞目標(biāo)企業(yè)的Zimbra網(wǎng)絡(luò)郵件服務(wù)器。借此,攻擊者就可以不受限制的訪問(wèn)所有員工通過(guò)Zimbra傳輸?shù)碾娮余]件內(nèi)容。

  劫持Zimbra服務(wù)器的漏洞:

  CVE-2021-35208(CVSS評(píng)分:5.4)——跨站腳本錯(cuò)誤(XSS)

  CVE-2021-35209(CVSS評(píng)分:6.1)——服務(wù)器端請(qǐng)求偽造漏洞(SSRF)

  安全專家表示,當(dāng)用戶瀏覽查看Zimbra傳入的電子郵件時(shí),就會(huì)觸發(fā)跨站點(diǎn)腳本(CVE-2021-35208)漏洞。

  惡意電子郵件會(huì)包含一個(gè)精心設(shè)計(jì)的JavaScript有效負(fù)載,當(dāng)該負(fù)載被執(zhí)行時(shí),攻擊者將能夠訪問(wèn)受害者所有的電子郵件(除了他們的WEBmail會(huì)話)。并獲取受害者在Zimbra組件中其它功能的訪問(wèn)權(quán)限,發(fā)起進(jìn)一步的攻擊。

  另一個(gè)服務(wù)器端請(qǐng)求偽造漏洞 (CVE-2021-35209) ,繞過(guò)了訪問(wèn)控制的允許列表,導(dǎo)致強(qiáng)大的服務(wù)器端請(qǐng)求偽造。研究人員指出,該漏洞可以被任何權(quán)限角色的經(jīng)過(guò)身份驗(yàn)證的組織成員利用。

  上述情況說(shuō)明了一個(gè)這樣的事實(shí):基于Ajax、靜態(tài)HTML和移動(dòng)優(yōu)化的Zimbra網(wǎng)頁(yè)客戶端,以一種使破壞者注入惡意的JavaScript代碼的方式,執(zhí)行清除服務(wù)器端接收郵件中的HTML內(nèi)容。

  SSRF漏洞威脅強(qiáng)大有2個(gè)原因

  SSRF漏洞已經(jīng)成為一個(gè)越來(lái)越危險(xiǎn)的威脅類別,對(duì)云本地應(yīng)用尤甚。之所以強(qiáng)大一是因?yàn)樗梢栽趥鞒稣?qǐng)求中設(shè)置任意標(biāo)頭,其次是可以讀取響應(yīng)內(nèi)容。

  如果Zimbra實(shí)例托管在云供應(yīng)商處,可以從托管服務(wù)器的VM訪問(wèn)元數(shù)據(jù)API,則可能會(huì)泄漏高敏感信息。

  緩解措施

  安全專家指出,通過(guò)禁止HTTP請(qǐng)求處理程序執(zhí)行重定向的方式來(lái)減輕SSRF攻擊。建議驗(yàn)證Location響應(yīng)報(bào)頭的值,并在它被驗(yàn)證后創(chuàng)建新的請(qǐng)求。這樣可以保護(hù)開(kāi)放的重定向漏洞。XSS攻擊也可以通過(guò)完全刪除轉(zhuǎn)換表單標(biāo)簽的代碼的方式來(lái)修復(fù)。

  可用的補(bǔ)丁

  Zimbra團(tuán)隊(duì)修復(fù)了8.8.15系列的Patch 18和9.0系列的Patch 16的所有問(wèn)題,這兩個(gè)分支的早期版本都有脆弱性漏洞。

  安全牛評(píng)

  隨著虛擬化協(xié)同辦公發(fā)展的深入,國(guó)內(nèi)的開(kāi)源協(xié)同辦公軟件也逐漸成熟起來(lái),然而Zimbra漏洞的披露彰顯了軟件供應(yīng)鏈安全的脆弱性。這一事件也提醒我們,軟件供應(yīng)鏈安全的提升需要從兩個(gè)維度出發(fā),其一,對(duì)于軟件供應(yīng)商來(lái)說(shuō),通過(guò)軟件開(kāi)發(fā)安全的相關(guān)流程來(lái)增強(qiáng)軟件安全性變得愈加重要;其二,對(duì)于軟件使用者,企業(yè)要提升員工的安全意識(shí),軟件產(chǎn)品的穩(wěn)定性和安全性不是堅(jiān)不可摧的,我們?cè)谑褂眠^(guò)程中對(duì)于一些“可疑”的使用情況要提高警惕性。另一方面,Zimbra對(duì)漏洞的處理方式也為我們?cè)诰W(wǎng)絡(luò)安全領(lǐng)域方面的發(fā)展提供了參考價(jià)值和借鑒意義。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。