Η Zimbra προτρέπει τους διαχειριστές να διορθώσουν με μη αυτόματο τρόπο τη μηδενική ημέρα εκμετάλλευσης σε επιθέσεις
Η Zimbra προέτρεψε σήμερα τους διαχειριστές να διορθώσουν με μη αυτόματο τρόπο μια ευπάθεια zero-day που αξιοποιήθηκε ενεργά για τη στόχευση και την παραβίαση των διακομιστών email Zimbra Collaboration Suite (ZCS).
Αυτή η ευρέως διαδεδομένη πλατφόρμα ηλεκτρονικού ταχυδρομείου και συνεργασίας χρησιμοποιείται επί του παρόντος από περισσότερες από 200.000 επιχειρήσεις σε 140 χώρες, συμπεριλαμβανομένων περισσότερων από 1.000 κυβερνητικών και χρηματοπιστωτικών οργανισμών σε όλο τον κόσμο.
“Ένα θέμα ευπάθειας ασφαλείας στην έκδοση 8.8.15 του Zimbra Collaboration Suite που θα μπορούσε ενδεχομένως να επηρεάσει την εμπιστευτικότητα και την ακεραιότητα των δεδομένων σας εμφανίστηκε. [..] Η επιδιόρθωση σχεδιάζεται να παραδοθεί στην κυκλοφορία του ενημερωτικού κώδικα του Ιουλίου», η εταιρεία
προειδοποίησε
την Πέμπτη μέσω μιας συμβουλής που δεν ενημερώνει τους πελάτες ότι το σφάλμα γίνεται επίσης κατάχρηση στη φύση.
Το ελάττωμα ασφαλείας (προς το παρόν δεν διαθέτει αναγνωριστικό CVE) είναι α
αντικατοπτρισμένη δέσμη ενεργειών μεταξύ τοποθεσιών (XSS)
ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή ασφαλείας Clément Lecigne της Ομάδας Ανάλυσης απειλών
Google
.
Ως μέρος των επιθέσεων XSS, οι παράγοντες απειλών θα μπορούσαν να κλέψουν ευαίσθητες πληροφορίες χρήστη ή να εκτελέσουν κακόβουλο κώδικα σε ευάλωτα συστήματα.
Ενώ η Zimbra δεν αποκάλυψε ότι το ελάττωμα χρησιμοποιήθηκε σε επιθέσεις, η Maddie Stone της Google TAG
αποκάλυψε
σήμερα ότι η ευπάθεια XSS ανακαλύφθηκε κατά την εκμετάλλευση σε μια στοχευμένη επίθεση.
Ενώ η Zimbra δεν έχει παράσχει ακόμη ενημερωμένες εκδόσεις κώδικα ασφαλείας για την αντιμετώπιση αυτού του ενεργά αξιοποιημένου zero-day, παρείχε μια διόρθωση που οι διαχειριστές μπορούν να εφαρμόσουν με μη αυτόματο τρόπο για να καταργήσουν το διάνυσμα επίθεσης.
“Για να διατηρήσουμε το υψηλότερο επίπεδο ασφάλειας, παρακαλούμε τη συνεργασία σας για την εφαρμογή της επιδιόρθωσης με μη αυτόματο τρόπο σε όλους τους κόμβους του γραμματοκιβωτίου σας”, δήλωσε η εταιρεία.
Η διαδικασία που απαιτείται για τον μετριασμό της ευπάθειας σε όλους τους κόμβους γραμματοκιβωτίου απαιτεί μη αυτόματα από τους διαχειριστές να ακολουθήσουν τα ακόλουθα βήματα:
- Πάρτε ένα αντίγραφο ασφαλείας του αρχείου /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Επεξεργαστείτε αυτό το αρχείο και μεταβείτε στον αριθμό γραμμής 40
-
Ενημερώστε την τιμή της παραμέτρου σε
-
Πριν από την ενημέρωση, η γραμμή εμφανίστηκε ως
Η συμπερίληψη της συνάρτησης escapeXml() θα εξυγιάνει τώρα τα δεδομένα που εισάγει ο χρήστης διαφεύγοντας από ειδικούς χαρακτήρες που χρησιμοποιούνται στη σήμανση XML για την αποφυγή ελαττωμάτων XSS.
Η επιδιόρθωση μπορεί να εφαρμοστεί χωρίς διακοπές λειτουργίας, επειδή δεν απαιτείται επανεκκίνηση της υπηρεσίας Zimbra για την εφαρμογή του μετριασμού.
Οι διαχειριστές θα πρέπει να δώσουν προτεραιότητα στον μετριασμό αυτής της μηδενικής ημέρας, δεδομένου ότι πολλά σφάλματα Zimbra έχουν διερευνηθεί στη φύση για την παραβίαση εκατοντάδων ευάλωτων διακομιστών ηλεκτρονικού ταχυδρομείου παγκοσμίως τα τελευταία χρόνια.
Για παράδειγμα, ήδη από τον Ιούνιο του 2022, τα σφάλματα παράκαμψης εξουσιοδότησης Zimbra και απομακρυσμένης εκτέλεσης κώδικα έγιναν αντικείμενο εκμετάλλευσης για την παραβίαση περισσότερων από 1.000 διακομιστών.
Από τον Σεπτέμβριο του 2022, οι χάκερ άρχισαν να κάνουν κατάχρηση μιας μη επιδιορθωμένης ευπάθειας RCE στο Zimbra Collaboration Suite, θέτοντας σε κίνδυνο σχεδόν 900 ευάλωτους διακομιστές μέσα σε δύο μήνες.
Η ρωσική ομάδα
hacking
Winter Vivern χρησιμοποίησε επίσης εκμεταλλεύσεις στοχεύοντας ένα άλλο ανακλώμενο σφάλμα XSS από τον Φεβρουάριο του
2023
για να παραβιάσει τις πύλες ηλεκτρονικού ταχυδρομείου των κυβερνήσεων ευθυγραμμισμένες με το ΝΑΤΟ και να κλέψει γραμματοκιβώτια email που ανήκαν σε αξιωματούχους, κυβερνήσεις, στρατιωτικό προσωπικό και διπλωμάτες.
Ένας εκπρόσωπος της Synacor (μητρική εταιρεία της Zimbra) δεν ήταν άμεσα διαθέσιμος για σχόλιο όταν επικοινώνησε η BleepingComputer νωρίτερα σήμερα.
