Zimbra là nền tảng email được áp dụng rộng rãi trên thế giới đã kêu gọi người dùng khắc phục, sửa chữa các lỗ hổng zero-day đang được khai thác trên thực tế để nhắm mục tiêu và xâm phạm các máy chủ email Zimbra Collaboration Suite (ZCS)
Công ty cho biết “Một lỗ hổng bảo mật trong Zimbra Collaboration Suite Phiên bản 8.8.15 có khả năng ảnh hưởng đến tính bảo mật và tính toàn vẹn của dữ liệu . Bản vá sẽ xuất hiện trong bản phát hành bản vá tháng Bảy của công ty. ”
Lỗ hổng bảo mật (hiện đang thiếu CVE ID) là một Cross-Site Scripting (XSS) được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật Clément Lecigne của Google Threat Analysis Group. Đây là một phần của các cuộc tấn công XSS, các tác nhân đe dọa có thể đánh cắp thông tin người dùng nhạy cảm hoặc thực thi mã độc trên các hệ thống dễ bị tấn công.
Zimbra không tiết lộ rằng lỗ hổng đã được sử dụng trong các cuộc tấn công, tuy nhiên Maddie Stone của Google TAG đã tiết lộ rằng lỗ hổng XSS đã được phát hiện khi bị khai thác trong một cuộc tấn công có chủ đích.
Mặc dù Zimbra vẫn chưa cung cấp các bản vá bảo mật để giải quyết zero-day, nhưng hãng đã cung cấp một bản sửa lỗi mà quản trị viên có thể áp dụng thủ công để loại bỏ vectơ tấn công.
Công ty cho biết “Để duy trì mức độ bảo mật cao nhất, chúng tôi vui lòng yêu cầu sự hợp tác của khách hàng để áp dụng bản sửa lỗi theo cách thủ công trên tất cả các mailbox nodes”
Quy trình cần thiết để giảm thiểu lỗ hổng trên tất cả các mailbox nodes theo cách thủ công, yêu cầu quản trị viên thực hiện các bước sau:
- Sao lưu tệp /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Chỉnh sửa tệp này và chuyển đến dòng số 40
- Cập nhật giá trị tham số thành <input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
- Trước khi cập nhật, dòng xuất hiện dưới dạng <input name=”st” type=”hidden” value=”${param.st}”/>
Việc bao gồm hàm escapeXml() giờ đây sẽ làm sạch dữ liệu do người dùng nhập bằng cách thoát các ký tự đặc biệt được sử dụng trong đánh dấu XML để ngăn lỗi XSS. Bản sửa lỗi có thể được áp dụng mà không có thời gian ngừng hoạt động vì không cần phải khởi động lại dịch vụ Zimbra để áp dụng biện pháp giảm thiểu.