Neuer Bug könnte Angreifern ermöglichen, Zimbra Server durch das Versenden von bösartigen E-Mails zu kapern

  • Cybersecurity-Forscher haben mehrere Sicherheitslücken in der E-Mail-Kollaborationssoftware Zimbra entdeckt, die potenziell ausgenutzt werden können, um E-Mail-Konten durch das Versenden einer bösartigen Nachricht zu kompromittieren und sogar eine vollständige Übernahme des Mailservers zu erreichen, wenn dieser in einer Cloud-Infrastruktur gehostet wird.

    Die Schwachstellen – verfolgt als CVE-2021-35208 und CVE-2021-35208 – wurden in Zimbra 8.8.15 von Forschern des Anbieters von Codequalität und Sicherheitslösungen SonarSource im Mai 2021 entdeckt und gemeldet. Mitigations wurden seitdem in den Zimbra-Versionen 8.8.15 Patch 23 und 9.0.0 Patch 16 veröffentlicht.

    • CVE-2021-35208 (CVSS-Score: 5.4) – Gespeicherte XSS-Schwachstelle in ZmMailMsgView.java
    • CVE-2021-35209 (CVSS-Punktzahl: 6.1) – Proxy Servlet Open Redirect-Sicherheitslücke

    “Eine Kombination dieser Schwachstellen könnte es einem nicht authentifizierten Angreifer ermöglichen, einen kompletten Zimbra-Webmail-Server einer anvisierten Organisation zu kompromittieren”, sagte SonarSource-Schwachstellenforscher Simon Scannell, der die Sicherheitslücken identifizierte. “Als Ergebnis würde ein Angreifer uneingeschränkten Zugriff auf alle gesendeten und empfangenen E-Mails aller Mitarbeiter erhalten.”

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    Zimbra ist eine Cloud-basierte E-Mail-, Kalender- und Kollaborations-Suite für Unternehmen und ist sowohl als Open-Source-Version als auch als kommerziell unterstützte Version mit zusätzlichen Funktionen wie einer proprietären Connector-API zum Synchronisieren von Mail, Kalender und Kontakten mit Microsoft Outlook erhältlich. Sie wird von über 200.000 Unternehmen in 160 Ländern eingesetzt.

    CVE-2021-35208 betrifft eine Cross-Site-Scripting (XSS)-Schwachstelle in der Calendar Invite-Komponente, die im Browser eines Opfers beim Anzeigen einer speziell gestalteten E-Mail-Nachricht ausgelöst werden kann, die eine JavaScript-Nutzlast enthält, die, wenn sie ausgeführt wird, Zugriff auf den gesamten Posteingang des Ziels sowie auf die Web-Client-Sitzung gewährt, die dann zum Starten weiterer Angriffe missbraucht werden kann.

    [Blocked Image: https://thehackernews.com/images/-XmVoLGP_oRI/YQACC60F1dI/AAAAAAAADWc/-OZNjHUFn5c3XgdPOTiB6rI4zqo-jy6UACLcBGAsYHQ/s728-e1000/software.jpg]

    Das Problem rührt daher, dass die Zimbra-Web-Clients – ein Ajax-basierter Desktop-Client, ein statischer HTML-Client und ein für Mobilgeräte optimierter Client – die Bereinigung des HTML-Inhalts eingehender E-Mails serverseitig und in einer Weise durchführen, die es einem böswilligen Akteur ermöglicht, bösartigen JavaScript-Code zu injizieren.

    “Der Nachteil der serverseitigen Bereinigung ist, dass alle drei Clients das vertrauenswürdige HTML einer E-Mail im Nachhinein umwandeln können, um es auf ihre eigene Art und Weise anzuzeigen”, so Scannell. “Die Transformation von bereits sanitisierten HTML-Eingaben kann zu einer Korruption des HTML und dann zu XSS-Angriffen führen.”

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Auf der anderen Seite bezieht sich CVE-2021-35208 auf einen Server Side Request Forgery (SSRF)-Angriff, bei dem ein authentifiziertes Mitglied einer Organisation den Fehler mit dem oben genannten XSS-Problem verketten kann, um den von Zimbra verwendeten HTTP-Client auf eine beliebige URL umzuleiten und sensible Informationen aus der Cloud zu extrahieren, einschließlich Google Cloud API-Zugangstoken und IAM-Anmeldeinformationen von AWS, was zu deren Kompromittierung führt.

    “Zimbra möchte seine Kunden darauf hinweisen, dass es möglich ist, eine SSRF-Sicherheitsschwachstelle im Proxy-Servlet einzuführen”, so das Unternehmen in seinem Advisory. “Wenn dieses Servlet so konfiguriert ist, dass es eine bestimmte Domäne zulässt (über die Konfigurationseinstellung zimbraProxyAllowedDomains) und diese Domäne zu einer internen IP-Adresse auflöst (z. B. 127.0.0.1), könnte ein Angreifer möglicherweise auf Dienste zugreifen, die auf einem anderen Port auf demselben Server laufen und die normalerweise nicht öffentlich zugänglich sind.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com