Zimbra Server Bugs können zu E-Mail Plünderung führen

  • Zwei Bugs, die inzwischen bis auf ältere Versionen gepatcht sind, könnten so verkettet werden, dass Angreifer den Zimbra-Server durch einfaches Versenden einer bösartigen E-Mail kapern können.

    Der Zimbra-Webmail-Server hat zwei Schwachstellen, die es einem Angreifer ermöglichen könnten, den Posteingang und -ausgang aller Mitarbeiter in allen Unternehmen, die das immens beliebte Collaboration-Tool verwenden, zu durchsuchen, sagen Forscher.

    In einem Bericht vom Dienstag bezeichnete SonarSource die Situation als “drastisch”, angesichts der Popularität von Zimbra und der hochsensiblen Natur der Unmengen von Nachrichten, die es verarbeitet. Laut der Zimbra-Website werden die E-Mail- und Collaboration-Tools von mehr als 200.000 Unternehmen, über tausend Regierungs- und Finanzinstitutionen und Hunderten von Millionen Nutzern zum täglichen E-Mail-Austausch verwendet.

    “Wenn Angreifer Zugriff auf das E-Mail-Konto eines Mitarbeiters erhalten, hat das oft drastische Auswirkungen auf die Sicherheit”, heißt es in dem Bericht. “Neben den vertraulichen Informationen und Dokumenten, die ausgetauscht werden, ist ein E-Mail-Konto oft mit anderen sensiblen Konten verknüpft, die ein Zurücksetzen des Passworts ermöglichen. Überlegen Sie mal, was könnte ein Angreifer mit Ihrem Posteingang anstellen?”

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2019/02/19151457/subscribe2.jpg]

    Nun, zum einen könnten sie sich frei in Konten austoben. Forscher von SonarSource entdeckten zwei Schwachstellen im Open-Source-Code von Zimbra, die miteinander verkettet werden können, um Angreifern uneingeschränkten Zugriff auf Zimbra-Mailserver und auf alle gesendeten und empfangenen E-Mails aller Mitarbeiter zu ermöglichen.

    Bösartige E-Mails können manipulierte JavaScript-Nutzdaten enthalten

    Entdeckt von Simon Scannell, einem Schwachstellenforscher bei SonarSource, könnte die erste Schwachstelle allein durch das Öffnen einer bösartigen E-Mail mit einer JavaScript-Nutzlast ausgelöst werden. Wenn ein Opfer eine solche manipulierte E-Mail öffnen würde, würde es einen Cross-Site-Scripting (XSS)-Bug (CVE-2021-35208) in seinem Browser auslösen. Bei der Ausführung würde diese Nutzlast einem Angreifer Zugriff auf die E-Mails des Opfers sowie auf dessen Webmail-Sitzung verschaffen, so SonarSource.

    Außerdem wäre es ein Ground Zero für andere Angriffe, hieß es: “Damit könnte auf andere Funktionen von Zimbra zugegriffen werden und weitere Angriffe gestartet werden.”

    Bei der zweiten Schwachstelle handelt es sich um die Umgehung einer “allow-list”, die zu einer mächtigen “server-side request forgery” (SSRF)-Schwachstelle (CVE-2021-35209) führt, die von einem authentifizierten Konto ausgenutzt werden kann, das zu einem Mitglied einer anvisierten Organisation gehört, das eine beliebige Berechtigungsrolle hat.

    Die beiden Fehler würden, wenn sie kombiniert werden, einem entfernten Angreifer die Möglichkeit geben, wertvolle Goodies zu extrahieren, einschließlich Google Cloud API Tokens oder AWS IAM-Anmeldeinformationen von Instanzen innerhalb der Cloud-Infrastruktur.

    Die 80-Millionen-Dollar-Fehlkonfiguration

    Da klingelt es vielleicht bei Ihnen: Die Forscher verwiesen auf einen Einbruch bei Capital One im Jahr 2019, bei dem ein ähnlicher SSRF-Bug verwendet wurde. Dank einer Cloud-Fehlkonfiguration konnte der Angreifer – namentlich ein ehemaliger AWS-Ingenieur – mit den persönlichen Daten von über 100 Millionen Menschen entkommen. Das FBI hat ihn erwischt, aber das war eine teure SSRF-Panne: Capital One musste 80 Millionen Dollar berappen, um die Behauptungen der Bundesbankaufsichtsbehörden zu klären, dass das Unternehmen keine angemessenen Cybersicherheitsprotokolle hatte.

    SonarSource bringt es auf den Punkt: “SSRF-Schwachstellen sind zu einer zunehmend gefährlichen Fehlerklasse geworden, besonders für Cloud-native Anwendungen”, heißt es in dem Bericht. Die Sicherheitsfirma sagte, sie wisse nicht, ob Zimbra Cloud, eine SaaS-Lösung, die AWS nutzt, von der Schwachstelle betroffen sei.

    Scannell erklärte gegenüber PortSwigger, dass der SSRF-Fehler es einem Angreifer ermöglicht, HTTP-Anfragen an beliebige Hosts oder Ports zu senden. “Kombiniert mit Protokoll-Schmuggel könnte dies zu RCE führen”, wurde er zitiert. “Es könnte einem Angreifer auch ermöglichen, hochsensible Metadaten zu stehlen, wie z. B. Zugriffstoken für das Konto, das mit der Instanz verbunden ist, die ausgenutzt worden wäre.”

    Konkret könnte ein Angreifer, wie bereits erwähnt, an Zugriffs-Tokens wie Google Cloud API-Tokens oder AWS IAM-Anmeldeinformationen von Cloud-Instanzen gelangen.

    Das Zimbra-Team hat beide Probleme behoben, mit Patch 18 für die 8.8.15er-Serie und Patch 16 für die 9.0er-Serie. Laut SonarSource sind frühere Versionen beider Ableger jedoch immer noch verwundbar. Threatpost hat sich an Zimbra gewandt, um herauszufinden, wie der Plan für das Patchen älterer Versionen aussieht, und wird den Artikel aktualisieren, wenn wir etwas herausfinden.

    Die Probleme wurden Zimbra am 20. und 22. Mai gemeldet, Patches wurden am 28. Juni für die Serien 8.8.15 und 9.0 veröffentlicht.

    Scannell sagte gegenüber PortSwigger, dass die Schwachstellen, die beide als mittelschwer eingestuft wurden, ernsthafte Auswirkungen haben könnten: “Beide Schwachstellen funktionieren in der Standardkonfiguration und betreffen den Zimbra-Kern”, sagte er dem Outlet: eine Menge potenzieller Auswirkungen, wenn man die 200.000 Unternehmen bedenkt, auf die Zimbra Anspruch erhebt.

    Vergangenheit Zimbra im Visier

    Es ist eine sichere Wette, dass Angreifer versuchen werden, die Schwachstellen auszunutzen, angesichts der Anzahl von Bullaugen, die auf Zimbras Rücken gemalt wurden.

    Im April war ein Zimbra-Bug – CVE-2019-9670, in der Synacor Zimbra Collaboration Suite (XXE) – eine von fünf Schwachstellen, die von Nationalstaaten angegriffen wurden und zu einer Warnung der National Security Agency (NSA) vor einer APT29-Kampagne führten, die unter anderem Anmeldedaten stehlen wollte.

    Zimbra muss ein Lieblingsziel der mit Russland verbundenen APT29-Bedrohungsgruppe sein: Vor der April-Kampagne, im Juli 2020, nahm die Cybergang die Pharma-Forschung in westlichen Ländern ins Visier, wahrscheinlich um Forschungsergebnisse für einen COVID-19-Impfstoff zu stehlen. Der Raubzug beinhaltete die Verwendung von Exploits für bekannte Schwachstellen, darunter eine in Zimbra (CVE-2019-9670).

    [Blocked Image: https://media.threatpost.com/wp-content/uploads/sites/103/2021/07/27093135/threatpost-webinar-300x51.jpg]Machen Sie sich Sorgen, woher der nächste Angriff kommen könnte? Wir halten Ihnen den Rücken frei. Melden Sie sich JETZT für unser kommendes Live-Webinar “How to Think Like a Threat Actor” in Zusammenarbeit mit Uptycs am 17. August um 11 Uhr EST an und finden Sie heraus, wo genau Angreifer es auf Sie abgesehen haben und wie Sie dort zuerst ankommen. Begleiten Sie die Moderatorin Becky Bracken und die Uptycs-Forscher Amit Malik und Ashwin Vamshi am 17. August um 11 Uhr EST bei dieser LIVE-Diskussion.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com