Η Zimbra παρότρυνε σήμερα τους διαχειριστές να διορθώσουν χειροκίνητα μια ευπάθειαzero-day, η οποία χρησιμοποιείται ενεργά για να στοχεύσει και να θέσει σε κίνδυνο τους email servers Zimbra Collaboration Suite (ZCS).
Δείτε επίσης: Νέα επίθεση κάνει drop το LokiBot Malware μέσω κακόβουλων Macros σε Word Docs
Αυτή η ευρέως αποδεκτή πλατφόρμα ηλεκτρονικού ταχυδρομείου και συνεργασίας χρησιμοποιείται σήμερα από περισσότερες από 200.000 επιχειρήσεις σε 140 χώρες, συμπεριλαμβανομένων περισσότερων από 1.000 κυβερνήσεων και χρηματοπιστωτικών οργανισμών παγκοσμίως.
Το ελάττωμα ασφαλείας, που προς το παρόν δεν έχει αναγνωριστικό CVE, είναι ένα αντανακλαστικό Cross-Site Scripting (XSS), το οποίο ανακαλύφθηκε και αναφέρθηκε από τον ερευνητή ασφαλείας Clément Lecigne της Google Threat Analysis Group.
Στο πλαίσιο των επιθέσεων XSS, οι απειλητικοί φορείς θα μπορούσαν να κλέψουν ευαίσθητες πληροφορίες χρήστη ή να εκτελέσουν κακόβουλο κώδικα σε ευάλωτα συστήματα.
Ενώ η Zimbra δεν αποκάλυψε αν το ελάττωμα χρησιμοποιήθηκε σε επιθέσεις, η Maddie Stone της Google TAG αποκάλυψε σήμερα ότι η ευπάθεια XSS είχε ανακαλυφθεί κατά την εκμετάλλευσή της σε μια στοχευμένη επίθεση.
Δείτε επίσης: Τα ελαττώματα ασφαλείας σε συσκευές Honeywell θα μπορούσαν να διαταράξουν κρίσιμες βιομηχανίες
Ενώ η Zimbra δεν έχει παράσχει ακόμη διορθώσεις ασφαλείας για την αντιμετώπιση αυτής της ενεργά εκμεταλλευόμενης zero-day ευπάθεια, έχει παράσχει μια διόρθωση που οι διαχειριστές μπορούν να εφαρμόσουν χειροκίνητα για να αφαιρέσουν τον attack vector.
Η διαδικασία που απαιτείται για τον μετριασμό της ευπάθειας σε όλα τα mailbox nodes με χειροκίνητο τρόπο απαιτεί από τους διαχειριστές να ακολουθήσουν τα ακόλουθα βήματα:
- Πάρτε ένα αντίγραφο ασφαλείας του αρχείου /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Επεξεργαστείτε αυτό το αρχείο και μεταβείτε στον αριθμό γραμμής 40
- Ενημερώστε την τιμή της παραμέτρου σε <input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
- Πριν από την ενημέρωση, η γραμμή εμφανίστηκε ως <input name=”st” type=”hidden” value=”${param.st}”/>
Η ενσωμάτωση της συνάρτησης escapeXml() θα καθαρίζει τώρα τα δεδομένα που εισάγει ο χρήστης, αποφεύγοντας τους ειδικούς χαρακτήρες που χρησιμοποιούνται στο XML markup, αποτρέποντας έτσι σφάλματα XSS.
Η διόρθωση μπορεί να εφαρμοστεί χωρίς διακοπή λειτουργίας, καθώς δεν απαιτείται επανεκκίνηση της υπηρεσίας Zimbra για την εφαρμογή του μετριασμού.
Δείτε επίσης: Το AVrecon malware μολύνει 70.000 Linux routers για να δημιουργήσει botnet
Επίθεση στους Zimbra servers
Οι διαχειριστές θα πρέπει να δώσουν προτεραιότητα στον μετριασμό αυτής της zero-day ευπάθειας, δεδομένου ότι πολλαπλά σφάλματα του Zimbra έχουν χρησιμοποιηθεί ενεργά από τους χάκερ, παραβιάζοντας εκατοντάδες ευάλωτους email servers παγκοσμίως τα τελευταία χρόνια.
Για παράδειγμα, ήδη από τον Ιούνιο του 2022, τα σφάλματα παράκαμψης αυθεντικοποίησης και απομακρυσμένης εκτέλεσης κώδικα του Zimbra αξιοποιήθηκαν για την παραβίαση πάνω από 1.000 διακομιστών.
Από τον Σεπτέμβριο του 2022, οι χάκερς άρχισαν να κάνουν κατάχρηση μιας μη επιδιορθωμένης ευπάθειας Remote Code Execution (RCE) στην Zimbra Collaboration Suite, θέτοντας σε κίνδυνο σχεδόν 900 ευάλωτους διακομιστές μέσα σε δύο μήνες.
Η ρωσική ομάδα hacking Winter Vivera χρησιμοποίησε και exploits που στόχευαν ένα άλλο αντικατοπτριζόμενο σφάλμα XSS από τον Φεβρουάριο του 2023 για να παραβιάσει τις πύλες webmail των κυβερνήσεων που είναι προσκείμενες στο ΝΑΤΟ και να κλέψει email mailboxes που ανήκουν σε αξιωματούχους, κυβερνητικό, στρατιωτικό προσωπικό και διπλωμάτες.
Πηγή πληροφοριών: bleepingcomputer.com
