blog post

Une nouvelle faille permet aux pirates de prendre le contrôle du serveur Zimbra en envoyant des e-mails malveillants

Zimbra offre l'expérience de messagerie la plus innovante, connectant les utilisateurs finaux aux informations et à l'activité des clouds personnels. Il est utilisé par plus de 200 000 entreprises et plus d'un millier d'insti

Les experts de SonarSource ont révélé deux vulnérabilités dans le code open source Zimbra. Ces vulnérabilités pourraient permettre à un attaquant non authentifié de compromettre le serveur de messagerie Web Zimbra d'une organisation ciblée.

Par conséquent, un attaquant obtiendrait un accès illimité à tous les e-mails envoyés et reçus de tous les employés.

Les failles qui ont envahi le serveur Zimbra

CVE-2021-35208 (score CVSS : 5,4) – Bug de script intersites

CVE-2021-35209 (score CVSS : 6,1) – Vulnérabilité Server-Side Request Forgery

Les experts disent qu'un bogue de script intersites (XSS) (CVE-2021-35208 ) peut être déclenché dans le navigateur d'une victime lors de la visualisation d'un e-mail entrant.

L'e-mail malveillant inclurait une charge utile JavaScript conçue qui, une fois exécutée, fournirait à un attaquant un accès à tous les e-mails de la victime, en plus de sa session de messagerie Web. Dans ce cas, d'autres fonctionnalités de Zimbra pourraient être accessibles et d'autres attaques pourraient être lancées.

La vulnérabilité Server-Side Request Forgery (CVE-2021-35209), contourne une liste d'autorisation qui conduit à un puissant Server-Side Request Forgery. Les chercheurs mentionnent que cela peut être exploité par un membre authentifié d'une organisation avec n'importe quel rôle d'autorisation.

 

Le processus explique clairement que le problème provient du fait que les clients Web Zimbra, un client de bureau basé sur Ajax, un client HTML statique et un client optimisé pour les mobiles, effectuent la désinfection du contenu HTML des e-mails entrants côté serveur et d'une manière qui permet à un mauvais acteur d'injecter du code JavaScript malveillant.

Le SSRF est puissant pour deux raisons :

Les vulnérabilités SSRF sont devenues une classe de bugs de plus en plus dangereuse, en particulier pour les applications natives du cloud. Il est puissant puisque,

 

  • Des en-têtes arbitraires peuvent être définis dans la demande sortante, et

  • La réponse peut être lue.

Si une instance Zimbra est hébergée sur un fournisseur Cloud disposant d'une API de métadonnées accessible depuis la VM sur laquelle le serveur est hébergé, des informations hautement sensibles peuvent être divulguées.

Atténuation

Les experts en sécurité affirment que les attaques SSRF peuvent être atténuées en interdisant au gestionnaire de requêtes HTTP de suivre les redirections. Il est conseillé de valider la valeur de l'entête Location de la réponse et de créer une nouvelle requête après sa validation. Cela protégerait également contre les vulnérabilités Open Redirect.

L'attaque XSS a également été corrigée en supprimant le code qui a complètement transformé la balise de formulaire.

Patch disponible

L'équipe Zimbra a corrigé tous les problèmes avec le Patch 18 pour la série 8.8.15 et le Patch 16 pour la série 9.0. Les versions antérieures des deux branches sont vulnérables.