Peneliti keamanan siber telah menemukan beberapa kerentanan keamanan dalam perangkat lunak Zimbra Email Collaboration yang berpotensi dieksploitasi untuk menyusupi akun email dengan mengirimkan pesan berbahaya dan bahkan mencapai pengambilalihan penuh server email saat dihosting di infrastruktur cloud.
Bug tersebut dilacak sebagai CVE-2021-35208 dan CVE-2021-35209 — ditemukan dan dilaporkan di Zimbra 8.8.15 oleh para peneliti dari kualitas kode dan penyedia solusi keamanan SonarSource pada Mei 2021. Mitigasi telah dirilis di Zimbra versi 8.8. 15 Patch 23 dan 9.0.0 Patch 16.
Kombinasi dari kerentanan ini dapat memungkinkan penyerang yang tidak diautentikasi untuk menyusup ke server webmail Zimbra lengkap dari organisasi yang ditargetkan,” kata peneliti kerentanan SonarSource, Simon Scannell, yang mengidentifikasi kelemahan keamanan. “Akibatnya, penyerang akan mendapatkan akses tak terbatas ke semua mengirim dan menerima email dari semua karyawan.”
Zimbra adalah paket email, kalender, dan kolaborasi berbasis cloud untuk perusahaan dan tersedia baik sebagai versi sumber terbuka maupun versi yang didukung secara komersial dengan fitur tambahan seperti API konektor berpemilik untuk menyinkronkan email, kalender, dan kontak ke Microsoft Outlook , diantara yang lain. Ini digunakan oleh lebih dari 200.000 bisnis di 160 negara.
CVE-2021-35208 menyangkut kerentanan skrip lintas situs (XSS) di komponen Undangan Kalender yang dapat dipicu di browser korban saat melihat pesan email yang dibuat khusus yang berisi muatan JavaScript yang, ketika dijalankan, memberikan akses ke target seluruh kotak masuk serta sesi klien web, yang kemudian dapat disalahgunakan untuk meluncurkan serangan lebih lanjut.
Masalahnya berasal dari fakta bahwa klien web Zimbra — klien desktop berbasis Ajax, klien HTML statis, dan klien yang dioptimalkan untuk seluler — melakukan sanitasi konten HTML dari email masuk di sisi server dan dengan cara yang memungkinkan aktor jahat untuk menyuntikkan kode JavaScript jahat.
“Kelemahan menggunakan sanitasi sisi server adalah bahwa ketiga klien dapat mengubah HTML tepercaya dari email setelahnya untuk menampilkannya dengan cara unik mereka,” kata Scannell. “Transformasi input HTML yang sudah dibersihkan dapat menyebabkan kerusakan pada HTML dan kemudian ke serangan XSS.”
Di sisi lain, CVE-2021-35209 berkaitan dengan serangan pemalsuan permintaan sisi server (SSRF) di mana anggota yang diautentikasi dari suatu organisasi dapat mengaitkan cacat dengan masalah XSS yang disebutkan di atas untuk mengarahkan klien HTTP yang digunakan oleh Zimbra ke URL arbitrer dan mengekstrak informasi sensitif dari cloud, termasuk token akses Google Cloud API dan kredensial IAM dari AWS, yang mengarah ke komprominya.
“Zimbra ingin mengingatkan pelanggannya bahwa ada kemungkinan bagi mereka untuk memperkenalkan kerentanan keamanan SSRF di Proxy Servlet,” perusahaan tersebut mencatat dalam penasehatnya. “Jika servlet ini dikonfigurasi untuk mengizinkan domain tertentu (melalui pengaturan konfigurasi zimbraProxyAllowedDomains), dan domain tersebut diselesaikan ke alamat IP internal (seperti 127.0.0.1), penyerang mungkin dapat mengakses layanan yang berjalan pada port berbeda di server yang sama , yang biasanya tidak akan diekspos ke publik.”
Kami menyarankan Anda untuk segera melakukan patching pada zimbra sistem ke patch terbaru Jika para pembaca yang ingin mengetahui ataupun bertanya tentang patch zimbra, bugs zimbra, lisensi zimbra, serta professional services untuk kebutuhan server zimbra pembaca lebih lanjut. Silahkan hubungi kami di info@rekha.co.id atau WhatsApp ke 0851-5532-4400