Hai lỗ hổng bảo mật được phát hiện được định danh CVE-2021-35208 (điểm CVSS 5,4) và CVE-2021-35209 (điểm CVSS 6,1), được phát hiện trong phiên bản Zimbra 8.8.15 bởi Simon Scanell, một nhà nghiên cứu của SonarSource ̣̣(https://www.sonarsource.com) vào tháng 5/2021.
“Sự kết hợp của các lỗ hổng này có thể cho phép kẻ tấn công không cần xác thực xâm nhập một máy chủ webemail Zimbra của bất kỳ tổ chức nào. Do đó, kẻ tấn công sẽ có quyền truy cập không hạn chế vào tất cả các email đã gửi và nhận của tất cả nhân viên”, Scanell chia sẻ.
Được biết, Zimbra là một giải pháp webmail phổ biến dựa trên nền tảng đám mây thường dành cho doanh nghiệp. Hiện tại, Zimbra Email được sử dụng bởi hơn 200.000 doanh nghiệp, hơn 1.000 tổ chức tài chính và chính phủ, khoảng 500 nhà cung cấp dịch vụ trên 160 quốc gia.
CVE-2021-35208 là lỗ hổng DOM-based Stored XSS (Cross-site scripting), có thể được kích hoạt trong trình duyệt của nạn nhân khi xem thông báo email gửi đến chứa mã JavaScript độc hại. Nếu khai thác thành công, lỗ hổng sẽ cho phép kẻ tấn công truy cập vào toàn bộ tài khoản email của nạn nhân và các phiên webmail của họ. Điều này cho thấy, các tính năng khác của Zimbra đều có thể bị truy cập và từ đó tiến hành các cuộc tấn công tiếp theo.
.png)
Minh họa quá trình sử dụng proxy trên máy chủ Zimbra để thiết lập Proxy Servlet
Lỗ hổng đầu tiên xuất hiện bắt nguồn từ việc các máy khách của Zimbra (bao gồm máy tính để bàn dựa trên Ajax, HTML tĩnh và ứng dụng được tối ưu hóa cho thiết bị di động) sử dụng OWASP Java-HTML-Sanitizer để làm sạch nội dung HTML trong các email đến ở phía máy chủ. Tuy nhiên, Scannell phát hiện rằng cách tiếp cận này có thể cho phép kẻ tấn công chèn các JavaScript giả mạo.
Cụ thể hơn, “Nhược điểm của tính năng làm sạch phía máy chủ là cả ba ứng dụng thư của Zimbra có thể chuyển đổi HTML đáng tin cậy của email sau đó hiển thị theo cách riêng của chúng. Điều này có thể dẫn đến lỗi HTML và tạo điều kiện thuận lợi cho các cuộc tấn công XSS”, Scannel giải thích.
Lỗ hổng thứ hai là CVE-2021-35209 liên quan đến việc chuyển hướng mở Proxy Servlet, lỗ hổng này liên quan đến cuộc tấn công yêu cầu giả mạo phía máy chủ (Server side request forgery - SSRF). Kẻ tấn công đã được xác thực có thể xâu chuỗi kết hợp hai lỗ hổng để chuyển hướng máy khách HTTP mà Zimbra sử dụng đến một URL tùy ý và trích xuất thông tin nhạy cảm từ đám mây, bao gồm mã thông báo truy cập Google Cloud API và thông tin xác thực IAM (Identity and Access Management) từ Amazon Web Services, từ đó xâm nhập hệ thống.
Vấn đề SSRF được xác định trong việc tích hợp Webex mà Zimbra webmail hỗ trợ, trong đó Proxy sẽ chuyển tiếp (ngoại trừ một số tiêu đề không được phép) tất cả các tiêu đề yêu cầu HTTP và tham số tới bất kỳ URL nào khớp với mẫu *.webex.com.
Simon Scanell cho biết thêm trong thông báo của mình rằng: “Zimbra muốn cảnh báo các khách hàng về nguy cơ lỗ hổng SSRF trong Proxy Servlet. Nếu servlet này được cấu hình để cho phép một tên miền cụ thể (thông qua cài đặt cấu hình zimbraProxyAllowedDomains) và tên miền đó phân giải thành địa chỉ IP nội bộ (chẳng hạn như 127.0.0.1), kẻ tấn công có thể truy cập các dịch vụ đang chạy trên một cổng khác trên cùng một máy chủ mà thông thường sẽ không được tiết lộ công khai”.
Chỉ một email mà kẻ tấn công gửi đến người dùng được nhắm mục tiêu là đủ để khai thác cả hai lỗ hổng. Khi nạn nhân mở email độc hại, phần payload JavaScript sẽ tự động triển khai và lây nhiễm sang giao diện web Zimbra để khai thác lỗ hổng thứ hai mà không cần bất kỳ sự tương tác nào của người dùng.
Sau khi phát hiện ra sự cố, Zimbra đã khắc phục cả hai lỗ hổng bảo mật trong bản cập nhật bảo mật mới nhất vào cuối tháng 6/2021 với việc phát hành Zimbra 9.0.0 P16 và 8.8.15 P23.
