Clicky

Error podría permitir a los atacantes secuestrar el servidor Zimbra enviando correo electrónico malicioso

Zimbra

Un atacante obtendría acceso sin restricciones a todos los emails enviados y recibidos de todos los empleados

Investigadores de ciberseguridad han descubierto múltiples vulnerabilidades de seguridad en el software de colaboración de correo electrónico Zimbra que podrían explotarse para comprometer las cuentas de correo electrónico mediante el envío de un mensaje malicioso e incluso lograr un control total del servidor de correo cuando se aloja en una infraestructura en la nube.

Las fallas, rastreadas como CVE-2021-35208 y CVE-2021-35208, fueron descubiertas e informadas en mayo de 2021 en Zimbra 8.8.15 por investigadores del proveedor de soluciones de seguridad y calidad de código SonarSource. Desde entonces, se han lanzado mitigaciones en las versiones 8.8.15 Patch 23 y 9.0.0 Patch 16 de Zimbra.

CVE-2021-35208 (puntuación CVSS: 5,4) - Vulnerabilidad XSS almacenada en ZmMailMsgView.java
CVE-2021-35209 (puntuación CVSS: 6,1) - Vulnerabilidad de redireccionamiento abierto del servidor proxy

"Una combinación de estas vulnerabilidades podría permitir que un atacante no autenticado pusiera en peligro un servidor de correo web Zimbra completo de una organización objetivo", dijo el investigador de vulnerabilidades de SonarSource, Simon Scannell, quien identificó las debilidades de seguridad. "Como resultado, un atacante obtendría acceso sin restricciones a todos los correos electrónicos enviados y recibidos de todos los empleados".

Zimbra es un paquete de colaboración, calendario y correo electrónico basado en la nube para empresas y está disponible como una versión de código abierto y una versión comercialmente compatible con características adicionales como una API de conector patentada para sincronizar el correo, el calendario y los contactos con Microsoft Outlook, entre otros. Es utilizado por más de 200.000 empresas en 160 países.

CVE-2021-35208 se refiere a una vulnerabilidad de secuencias de comandos entre sitios (XSS) en el componente Calendar Invite que se puede activar en el navegador de la víctima al ver un mensaje de correo electrónico especialmente diseñado que contiene una carga útil de JavaScript que, cuando se ejecuta, otorga acceso a toda la bandeja de entrada del objetivo, así como la sesión del cliente web, que luego se puede abusar para lanzar más ataques.

Zimbra proceso

El problema surge del hecho de que los clientes web de Zimbra, un cliente de escritorio basado en Ajax, un cliente HTML estático y un cliente optimizado para dispositivos móviles, realizan la desinfección del contenido HTML de los correos electrónicos entrantes en el lado del servidor y de alguna manera que permite a un mal actor inyectar código JavaScript falso.

"La desventaja de usar la desinfección del lado del servidor es que los tres clientes pueden transformar el HTML confiable de un correo electrónico después para mostrarlo de una manera única", dijo Scannell. "La transformación de entradas HTML ya desinfectadas puede conducir a la corrupción del HTML y luego a ataques XSS".

Por otro lado, CVE-2021-35208 se relaciona con un ataque de falsificación de solicitud del lado del servidor (SSRF) en el que un miembro autenticado de una organización puede encadenar la falla con el problema XSS antes mencionado para redirigir el cliente HTTP utilizado por Zimbra a una URL arbitraria y extraer información confidencial de la nube, incluidos los tokens de acceso a la API de Google Cloud y las credenciales de IAM de AWS, lo que lleva a su compromiso.

"Zimbra desea alertar a sus clientes de que es posible que introduzcan una vulnerabilidad de seguridad SSRF en el servidor proxy", señaló la compañía en su aviso. "Si este servlet está configurado para permitir un dominio en particular (a través de la configuración de zimbraProxyAllowedDomains), y ese dominio se resuelve en una dirección IP interna (como 127.0.0.1), un atacante posiblemente podría acceder a servicios que se ejecutan en un puerto diferente en el mismo servidor, que normalmente no se expondría públicamente".

Jesus_Caceres