《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > Zimbra新漏洞或造成20萬家企業(yè)數(shù)據(jù)泄漏

Zimbra新漏洞或造成20萬家企業(yè)數(shù)據(jù)泄漏

2021-07-30
來源:安全牛

  Zimbra是一套開源協(xié)同辦公套件,包括WebMail,、日歷、通信錄、Web文檔管理和創(chuàng)作,。它通過將終端用戶的信息和活動連接到私有云中,,為用戶提供了最具創(chuàng)新性的消息接收體驗,因此每天有超過20萬家企業(yè)和1000多家政府,、金融機構(gòu)使用Zimbra與數(shù)百萬用戶交換電子郵件,。

  SonarSource的專家近期披露了開源 Zimbra代碼中的兩個漏洞。這些漏洞可能使未經(jīng)身份驗證的攻擊者破壞目標企業(yè)的Zimbra網(wǎng)絡郵件服務器,。借此,,攻擊者就可以不受限制的訪問所有員工通過Zimbra傳輸?shù)碾娮余]件內(nèi)容。

  劫持Zimbra服務器的漏洞:

  CVE-2021-35208(CVSS評分:5.4)——跨站腳本錯誤(XSS)

  CVE-2021-35209(CVSS評分:6.1)——服務器端請求偽造漏洞(SSRF)

  安全專家表示,,當用戶瀏覽查看Zimbra傳入的電子郵件時,,就會觸發(fā)跨站點腳本(CVE-2021-35208)漏洞。

  惡意電子郵件會包含一個精心設計的JavaScript有效負載,,當該負載被執(zhí)行時,,攻擊者將能夠訪問受害者所有的電子郵件(除了他們的WEBmail會話)。并獲取受害者在Zimbra組件中其它功能的訪問權(quán)限,,發(fā)起進一步的攻擊,。

  另一個服務器端請求偽造漏洞 (CVE-2021-35209) ,,繞過了訪問控制的允許列表,導致強大的服務器端請求偽造,。研究人員指出,,該漏洞可以被任何權(quán)限角色的經(jīng)過身份驗證的組織成員利用。

  上述情況說明了一個這樣的事實:基于Ajax,、靜態(tài)HTML和移動優(yōu)化的Zimbra網(wǎng)頁客戶端,,以一種使破壞者注入惡意的JavaScript代碼的方式,執(zhí)行清除服務器端接收郵件中的HTML內(nèi)容,。

  SSRF漏洞威脅強大有2個原因

  SSRF漏洞已經(jīng)成為一個越來越危險的威脅類別,,對云本地應用尤甚。之所以強大一是因為它可以在傳出請求中設置任意標頭,,其次是可以讀取響應內(nèi)容,。

  如果Zimbra實例托管在云供應商處,可以從托管服務器的VM訪問元數(shù)據(jù)API,,則可能會泄漏高敏感信息,。

  緩解措施

  安全專家指出,通過禁止HTTP請求處理程序執(zhí)行重定向的方式來減輕SSRF攻擊,。建議驗證Location響應報頭的值,,并在它被驗證后創(chuàng)建新的請求。這樣可以保護開放的重定向漏洞,。XSS攻擊也可以通過完全刪除轉(zhuǎn)換表單標簽的代碼的方式來修復,。

  可用的補丁

  Zimbra團隊修復了8.8.15系列的Patch 18和9.0系列的Patch 16的所有問題,這兩個分支的早期版本都有脆弱性漏洞,。

  安全牛評

  隨著虛擬化協(xié)同辦公發(fā)展的深入,,國內(nèi)的開源協(xié)同辦公軟件也逐漸成熟起來,然而Zimbra漏洞的披露彰顯了軟件供應鏈安全的脆弱性,。這一事件也提醒我們,,軟件供應鏈安全的提升需要從兩個維度出發(fā),其一,,對于軟件供應商來說,,通過軟件開發(fā)安全的相關(guān)流程來增強軟件安全性變得愈加重要;其二,,對于軟件使用者,,企業(yè)要提升員工的安全意識,軟件產(chǎn)品的穩(wěn)定性和安全性不是堅不可摧的,,我們在使用過程中對于一些“可疑”的使用情況要提高警惕性,。另一方面,Zimbra對漏洞的處理方式也為我們在網(wǎng)絡安全領(lǐng)域方面的發(fā)展提供了參考價值和借鑒意義,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。