Zimbra امروز از مدیران خواست تا به‌صورت دستی یک آسیب‌پذیری روز صفر را که به‌طور فعال برای هدف قرار دادن و به خطر انداختن سرورهای ایمیل Zimbra Collaboration Suite (ZCS) مورد سوءاستفاده قرارگرفته است، برطرف کنند.

این پلتفرم ایمیل و همکاری گسترده در حال حاضر توسط بیش از ۲۰۰۰۰۰ کسب‌وکار در ۱۴۰ کشور، ازجمله بیش از ۱۰۰۰ سازمان دولتی و مالی در سراسر جهان استفاده می‌شود.

یک آسیب‌پذیری امنیتی در Zimbra Collaboration Suite نسخه ۸٫۸٫۱۵ که می‌تواند به‌طور بالقوه بر حریم خصوصی و صحت داده‌های شما تأثیر بگذارد، کشف‌شده است.

“شرکت در یک اطلاعیه چهارشنبه اعلام کرد که راه‌حل در نسخهٔ پچ ژوئیه ارائه خواهد شد”، اما در این اطلاعیه به مشتریان اطلاع داده نشده است که این باگ نیز در محیط‌های واقعی در حال سوءاستفاده قرار می‌گیرد.

این نقص امنیتی که در حال حاضر شناسه CVE ندارد) یک اسکریپت بین سایتی منعکس‌شده (XSS) است که توسط محقق امنیتی Clément Lecigne از گروه تجزیه‌وتحلیل تهدیدهای گوگل کشف و گزارش‌شده است.

به‌عنوان بخشی از حملات XSS، عوامل تهدید می‌توانند اطلاعات محرمانه کاربر را بدزدند یا کدهای مخرب را روی سیستم‌های آسیب‌پذیر اجرا کنند.

اگرچه Zimbra اعلام نکرد که این نقص در حملات استفاده‌شده است، اما مدی استون از گروه تجزیه‌وتحلیل تهدیدهای گوگل (Google TAG) امروز اعلام کرد که آسیب‌پذیری XSS در حال سو استفاده در یک حمله هدفمند کشف‌شده است.

اگرچه Zimbra هنوز پچ‌های امنیتی را برای رفع این نقص روز صفر به‌صورت فعال فراهم نکرده است، اما راه‌حلی را ارائه داده است که مدیران می‌توانند به‌صورت دستی اعمال کنند تا vector حمله را حذف کنند.

این شرکت اعلام کرد: “برای حفظ بالاترین سطح امنیت، ما با مهربانی از شما درخواست همکاری داریم تا اصلاح را به‌صورت دستی در تمام گره‌های صندوق پستی خود اعمال کنید.”

برای کاهش آسیب‌پذیری در تمامی گره‌های صندوق پستی به‌صورت دستی، فرآیند زیر برای مدیران لازم است:

از فایل /opt/zimbra/jetty/webapps/zimbra/m/momoveto بک آپ بگیرید

این فایل را ویرایش کنید و به خط شماره ۴۰ بروید

مقدار پارامتر را به <input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/> به‌روز کنید

قبل از به‌روزرسانی، خط به‌صورت <input name=”st” type=”hidden” value=”${param.st}”/> ظاهر می‌شد.

اضافه کردن تابع escapeXml باعث می‌شود که داده‌های ورودی کاربر را پاک‌سازی و کاراکترهای خاص مورداستفاده در نشانه‌گذاری XML را حذف کند تا از وجود نقص XSS جلوگیری شود.

می‌توان بدون اختلال در سرویس‌های Zimbra مشکل را رفع کرد. زیرا برای کاهش آسیب‌پذیری نیازی به راه‌اندازی مجدد سرویس Zimbra نیست.

سرورهای Zimbra تحت حمله

با توجه به اینکه در سال‌های اخیر، چندین باگ Zimbra در محیط‌های واقعی بررسی‌شده‌اند و باعث نفوذ به صدها سرور ایمیل آسیب‌پذیر در سراسر جهان شده‌اند، مدیران باید کاهش این روز صفر را در اولویت قرار دهند.

به‌عنوان‌مثال، در اوایل ژوئن ۲۰۲۲، باگ‌های عبور از احراز هویت و اجرای کد از راه دور Zimbra، برای نفوذ به بیش از ۱۰۰۰ سرور مورد سوءاستفاده قرار گرفتند.از سپتامبر ۲۰۲۲، هکرها شروع به سوءاستفاده از یک آسیب‌پذیری RCE (اجرای کد از راه دور) در مجموعه Zimbra Collaboration Suite کردند و تقریباً ۹۰۰ سرور آسیب‌پذیر را عرض دو ماه مورد هجوم قراردادند.

گروه هکر روسی Winter Vivern از فوریه ۲۰۲۳ به بعد، با بهره‌برداری از باگ‌های XSS بازتابی هدفمند، به حمله به پورتال‌های ایمیل وب مرتبط با دولت‌ها و نهادهای نظامی متحد ناتو پرداخته و صندوق‌های پست الکترونیکی متعلق به مقامات، دولت‌ها، نیروهای نظامی و دیپلمات‌ها را سرقت کردند.لازم به ذکر است در حال حاضر بسیاری از سازمان‌ها و شرکت‌های ایرانی از میل سرور Zimbra و یا از نسخه بومی‌سازی شده آن استفاده می‌کنند و لازم است با توجه به باگ امنیتی کشف‌شده هر چه سریع‌تر نسبت به ایمن‌سازی میل سرور خود اقدام نمایند.

 مطالب مرتبط

هشدار درباره آسیب‌پذیری روزصفر در Office و Windows HTML

کشف ۳ حفره امنیتی در محصولات سیسکو

آخرین اخبار پارس تدیوین

منبع