Zimbra是一个开源的协同办公套件,包括WebMail、日历、通讯录、Web文档管理和创建。它通过将最终用户的信息和活动连接到私有云,为用户提供最具创新性的消息传递体验,因此每天有超过200,000家企业和超过1,000家政府和金融机构使用Zimbra与数百万用户交换电子邮件。SonarSource的专家最近披露了开源Zimbra代码中的两个漏洞。这些漏洞可能允许未经身份验证的攻击者破坏目标企业的Zimbra网络邮件服务器。这将允许攻击者不受限制地访问通过Zimbra传输的所有员工电子邮件的内容。劫持Zimbra服务器的漏洞:CVE-2021-35208(CVSS评分:5.4)-跨站点脚本错误(XSS)CVE-2021-35209(CVSS评分:6.1)-服务器端请求伪造漏洞(SSRF)安全专家表示,当用户浏览以查看来自Zimbra的传入电子邮件时,会触发跨站点脚本(CVE-2021-35208)漏洞。恶意电子邮件将包含一个精心设计的JavaScript有效负载,在执行时,攻击者可以访问受害者的所有电子邮件(除了他们的WEBmail会话)。并在Zimbra组件中获得对受害者其他功能的访问权限,以发起进一步的攻击。另一个服务器端请求伪造漏洞(CVE-2021-35209)绕过访问控制的允许列表,导致强大的服务器端请求伪造。研究人员指出,该漏洞可以被具有任何特权角色的经过身份验证的组织成员利用。上述情况表明,基于Ajax的静态HTML和针对移动设备优化的ZimbraWeb客户端以一种允许破坏者注入恶意JavaScript代码的方式执行从服务器接收到的邮件中的HTML内容的清除。SSRF漏洞是一个强大的威胁,原因有两个SSRF漏洞已成为越来越危险的威胁类别,尤其是对于云原生应用程序。它很强大,因为它可以在传出请求上设置任意标头,其次,它可以读取响应内容。如果Zimbra实例托管在云提供商处,则可以从托管服务器的VM访问元数据API,这可能会暴露高度敏感的信息。缓解措施安全专家指出,通过禁用HTTP请求处理程序执行重定向可以缓解SSRF攻击。建议验证Location响应标头的值,并在验证后创建新请求。这可以防止打开重定向漏洞。XSS攻击也可以通过完全删除转换表单标签的代码来修复。可用补丁Zimbra团队修复了8.8.15系列补丁18和9.0系列补丁16中的所有问题,这两个补丁在该分支的早期版本中都存在漏洞。安全牛点评随着虚拟化协同办公发展的深入,国产开源协同办公软件也逐渐成熟。然而,Zimbra漏洞的披露凸显了软件供应链安全的脆弱性。这件事也提醒我们,软件供应链安全的提升需要从两个维度入手。首先,对于软件供应商来说,通过软件开发安全相关流程来增强软件安全性变得越来越重要;第二,对于软件用户,企业应提高员工的安全意识。软件产品的稳定性和安全性并非坚不可摧。在使用过程中,我们应该警惕一些“可疑”的使用情况。另一方面,Zimbra对漏洞的处理也为我们在网络安全领域的发展提供了参考价值和参考。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
