Các nhà nghiên cứu bảo mật đã phát hiện ra nhiều lỗ hổng bảo mật trong phần mềm thư điện tử Zimbra có khả năng bị khai thác để xâm phạm các tài khoản email bằng cách gửi thư độc hại và chiếm quyền kiểm soát hoàn toàn máy chủ thư khi được đặt trên kiến trúc đám mây.
Các lỗ hổng (có mã CVE là CVE-2021-35208 và CVE-2021-35208) được các nhà nghiên cứu bảo mật SonarSource phát hiện và báo cáo trong Zimbra 8.8.15 vào tháng 5 năm 2021. Các biện pháp khắc phục đã được phát hành trong phiên bản 8.8.15 Patch 23 and 9.0.0 Patch 16.
Nhà nghiên cứu SonarSource - Simon Scannell, người đã phát hiện các điểm yếu bảo mật cho biết: “Sự kết hợp các lỗ hổng này cho phép kẻ tấn công không cần xác thực có thể xâm phạm toàn bộ máy chủ email trực tuyến Zimbra của một tổ chức." Vì vậy, kẻ tấn công sẽ có quyền truy cập không hạn chế vào tất cả các email đã gửi và nhận của tất cả nhân viên."
Zimbra là một ứng dụng được sử dụng cho các mục đích như email, lịch, danh bạ,… dựa trên nền tảng đám mây thường dành cho doanh nghiệp. Nó được sử dụng bởi hơn 200.000 doanh nghiệp trên 160 quốc gia.
CVE-2021-35208 liên quan đến lỗ hổng XSS trong Calendar Invite có thể được kích hoạt trong trình duyệt của nạn nhân khi xem thông báo email chứa mã JavaScript độc hại.
Lỗ hổng này bắt nguồn từ việc các máy khách Zimbra web chưa xử lí nội dung HTML trong các email đến ở phía máy chủ một cách thích hợp. Do đó cho phép kẻ tấn công chèn mã JavaScript độc hại trong email gửi đến.
Mặt khác, CVE-2021-35208 liên quan đến tấn công giả mạo yêu cầu phía máy chủ (SSRF). Một người dùng độc hại đã xác thực có thể kết hợp lỗ hổng này với lỗ hổng XSS nói trên để chuyển hướng máy khách HTTP đến một URL tùy ý và trích xuất thông tin nhạy cảm từ cloud, bao gồm Google Cloud API access tokens và thông tin xác thực IAM từ AWS.
Nguồn: thehackernews.com