Zimbra服务器漏洞可能导致电子邮件掠夺
除了旧版本之外,现在已经修补了两个漏洞,可以链接起来,让攻击者只需发送一封恶意电子邮件就可以劫持Zimbra服务器。
研究人员称,Zimbra网络邮件服务器有两个漏洞,攻击者可以利用这两个漏洞浏览所有使用这种广受欢迎的协作工具的企业中所有员工的收件箱和发件箱。
在周二的一篇评论中,SonarSource称,鉴于Zimbra的受欢迎程度和它所处理的大量信息的高度敏感性质,这是一个“极端”的情况。根据Zimbra的网站,其电子邮件和协作工具被超过20万家企业,1000多家政府和金融机构使用,以及数亿用户每天交换电子邮件。
报告称:“当攻击者进入员工的电子邮件账户时,往往会带来严重的安全隐患。”“除了交换的机密信息和文件外,电子邮件账户通常还会链接到其他允许密码重置的敏感账户。想想看,攻击者能对你的收件箱做什么?“ 对的,他们可以自由地翻阅账户,就是其中之一。
恶意电子邮件可能携带精心编制的JavaScript有效负载。
SonarSource的漏洞研究员西蒙·斯坎内尔(Simon Scanell)发现了第一个漏洞,只需打开包含JavaScript有效负载的恶意电子邮件就可以触发第一个漏洞。如果受害者打开这样一封被篡改的电子邮件,他们会在浏览器中触发跨站点脚本(Xss)漏洞(cve-2021-35208)。SonarSource说,当被执行时,该有效负载将使攻击者能够访问受害者的电子邮件,以及他们的网络邮件会话。
此外,这将是其他攻击的起点,他们说:“有了这一点,就可以访问Zimbra的其他功能,并可以发动进一步的攻击。”
第二个缺陷是绕过允许列表,导致强大的服务器端请求伪造(SSRF)漏洞(CVE-2021-35209),属于具有任何权限角色的目标组织成员的经过身份验证的帐户可以利用该漏洞。
如果将这两个漏洞结合在一起,远程攻击者就可以从云基础架构中的实例中提取宝贵的东西,包括Google Cloud API令牌或AWS IAM凭据。
8000万美元的错误配置。
这可能会敲响警钟:研究人员指出,2019年Capital One遭到入侵,涉及一个类似的SSRF漏洞。由于云配置错误,攻击者--特别是一名前AWS工程师--偷走了超过1亿人的个人数据。联邦调查局抓到了他,但这是一个代价高昂的SSRF故障:Capital One不得不支付8000万美元来了结联邦银行监管机构关于其缺乏适当网络安全协议的指控。
SonarSource委婉地说:“SSRF漏洞已经成为一个越来越危险的漏洞类别,特别是对于云本地应用程序而言。”这家安全公司表示,他们不知道使用AWS的SaaS解决方案Zimbra Cloud是否受到了该漏洞的影响。
Scanell告诉PortSwigger,SSRF漏洞允许攻击者向任意主机或端口发送HTTP请求。“与协议走私相结合,这可能导致RCE,”报道援引他的话说。这还可能使攻击者窃取高度敏感的元数据,例如对与可能被利用的实例关联的帐户的访问令牌。
具体地说,如前所述,攻击者可以从云实例获取访问令牌,包括Google Cloud API令牌或AWS IAM凭据。
Zimbra团队已经解决了这两个问题,8.8.15系列的补丁18和9.0系列的补丁16。然而,SonarSource表示,这两个分支的先前版本仍然存在漏洞。Threatpost联系了Zimbra,了解为旧版本打补丁的计划是什么,如果我们发现了,将更新这篇文章。
这些问题于5月20日和22日报告给Zimbra,并于6月28日发布了8.8.15和9.0系列的补丁。
斯坎内尔告诉PortSwigger,这两个漏洞都被评为中等严重程度,可能会产生严重影响。他告诉PortSwigger:“这两个漏洞都会在默认配置上起作用,并正在影响Zimbra的核心。”鉴于Zimbra声称拥有20万家企业,潜在影响很大。
过去对津布拉的突袭。
可以肯定的是,考虑到津布拉背上画了这么多牛眼,攻击者肯定会试图利用这些漏洞。
今年4月,Synacor Zimbra Collaboration Suite(XXE)中的Zimbra漏洞-CVE-2019-9670-是民族国家攻击下的五个漏洞之一,促使美国国家安全局(National Security Agency,NSA)就APT29活动一心想要窃取凭证等发出警告。
津布拉肯定是与俄罗斯有关联的APT29威胁组织最喜欢的目标:在2020年4月的行动之前,该网络团伙将目光投向了西方国家的制药研究,可能是为了窃取新冠肺炎疫苗的研究。抓取包括利用已知漏洞,包括Zimbra中的一个漏洞(CVE-2019-9670)。
在周二的一篇评论中,SonarSource称,鉴于Zimbra的受欢迎程度和它所处理的大量信息的高度敏感性质,这是一个“极端”的情况。根据Zimbra的网站,其电子邮件和协作工具被超过20万家企业,1000多家政府和金融机构使用,以及数亿用户每天交换电子邮件。
报告称:“当攻击者进入员工的电子邮件账户时,往往会带来严重的安全隐患。”“除了交换的机密信息和文件外,电子邮件账户通常还会链接到其他允许密码重置的敏感账户。想想看,攻击者能对你的收件箱做什么?“ 对的,他们可以自由地翻阅账户,就是其中之一。
恶意电子邮件可能携带精心编制的JavaScript有效负载。
SonarSource的漏洞研究员西蒙·斯坎内尔(Simon Scanell)发现了第一个漏洞,只需打开包含JavaScript有效负载的恶意电子邮件就可以触发第一个漏洞。如果受害者打开这样一封被篡改的电子邮件,他们会在浏览器中触发跨站点脚本(Xss)漏洞(cve-2021-35208)。SonarSource说,当被执行时,该有效负载将使攻击者能够访问受害者的电子邮件,以及他们的网络邮件会话。
此外,这将是其他攻击的起点,他们说:“有了这一点,就可以访问Zimbra的其他功能,并可以发动进一步的攻击。”
第二个缺陷是绕过允许列表,导致强大的服务器端请求伪造(SSRF)漏洞(CVE-2021-35209),属于具有任何权限角色的目标组织成员的经过身份验证的帐户可以利用该漏洞。
如果将这两个漏洞结合在一起,远程攻击者就可以从云基础架构中的实例中提取宝贵的东西,包括Google Cloud API令牌或AWS IAM凭据。
8000万美元的错误配置。
这可能会敲响警钟:研究人员指出,2019年Capital One遭到入侵,涉及一个类似的SSRF漏洞。由于云配置错误,攻击者--特别是一名前AWS工程师--偷走了超过1亿人的个人数据。联邦调查局抓到了他,但这是一个代价高昂的SSRF故障:Capital One不得不支付8000万美元来了结联邦银行监管机构关于其缺乏适当网络安全协议的指控。
SonarSource委婉地说:“SSRF漏洞已经成为一个越来越危险的漏洞类别,特别是对于云本地应用程序而言。”这家安全公司表示,他们不知道使用AWS的SaaS解决方案Zimbra Cloud是否受到了该漏洞的影响。
Scanell告诉PortSwigger,SSRF漏洞允许攻击者向任意主机或端口发送HTTP请求。“与协议走私相结合,这可能导致RCE,”报道援引他的话说。这还可能使攻击者窃取高度敏感的元数据,例如对与可能被利用的实例关联的帐户的访问令牌。
具体地说,如前所述,攻击者可以从云实例获取访问令牌,包括Google Cloud API令牌或AWS IAM凭据。
Zimbra团队已经解决了这两个问题,8.8.15系列的补丁18和9.0系列的补丁16。然而,SonarSource表示,这两个分支的先前版本仍然存在漏洞。Threatpost联系了Zimbra,了解为旧版本打补丁的计划是什么,如果我们发现了,将更新这篇文章。
这些问题于5月20日和22日报告给Zimbra,并于6月28日发布了8.8.15和9.0系列的补丁。
斯坎内尔告诉PortSwigger,这两个漏洞都被评为中等严重程度,可能会产生严重影响。他告诉PortSwigger:“这两个漏洞都会在默认配置上起作用,并正在影响Zimbra的核心。”鉴于Zimbra声称拥有20万家企业,潜在影响很大。
过去对津布拉的突袭。
可以肯定的是,考虑到津布拉背上画了这么多牛眼,攻击者肯定会试图利用这些漏洞。
今年4月,Synacor Zimbra Collaboration Suite(XXE)中的Zimbra漏洞-CVE-2019-9670-是民族国家攻击下的五个漏洞之一,促使美国国家安全局(National Security Agency,NSA)就APT29活动一心想要窃取凭证等发出警告。
津布拉肯定是与俄罗斯有关联的APT29威胁组织最喜欢的目标:在2020年4月的行动之前,该网络团伙将目光投向了西方国家的制药研究,可能是为了窃取新冠肺炎疫苗的研究。抓取包括利用已知漏洞,包括Zimbra中的一个漏洞(CVE-2019-9670)。
关于作者
评论0次