کد QR مطلبدریافت صفحه با کد QR

کشف آسیب‌پذیری‌های حساس در سرویس‌دهنده ایمیل زیمبرا

مرکز ماهر , 5 شهريور 1401 ساعت 13:00

یک آسیب‌پذیری حیاتی در سرویس‌دهنده ایمیل زیمبرا کشف شد که هکر می‌تواند با استفاده از این آسیب‌پذیری به سیستم استفاده‌کننده از این سرویس دسترسی پیدا کند.


یک آسیب‌پذیری حیاتی در سرویس‌دهنده ایمیل زیمبرا کشف شد که هکر می‌تواند با استفاده از این آسیب‌پذیری به سیستم استفاده‌کننده از این سرویس دسترسی پیدا کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، دو آسیب‌پذیری حیاتی شناسایی شده در سرویس‌دهنده‌ ایمیل زیمبرا (Zimbra) بصورت گسترده مورد سوء استفاده مهاجمان قرار گرفته است. این دو آسیب‌پذیری شامل آسیب‌پذیری RCE به شناسه‌ CVE-۲۰۲۲-۲۷۹۲۵ و آسیب‌پذیری authentication bypass به شناسه‌ی CVE-۲۰۲۲-۳۷۰۴۲ است.

ترکیب این دو آسیب‌پذیری باعث شده مهاجم بتواند با ایجاد یک فایل ZIP محتوی یک فایل با آدرس نسبی، نسبت به جایگذاری فایل در مسیر مشخص اقدام کنند. این دو آسیب‌پذیری در patch نسخه‌های ۹.۰.۰P۲۶ و ۸.۸.۱۵P۳۳ رفع شده‌اند.

بهره‌برداری از این آسیب‌پذیری از طریق ارسال درخواست HTTP post به سرویس‌دهنده‌ وب زیمبرا صورت می‌گیرد.


با توجه به سوء استفاده گسترده از این آسیب‌پذیری‌ها طی یک ماه گذشته، چنانچه سرویس webmail زیمبرا روی اینترنت قرار داشته، به احتمال بسیار زیاد مورد نفوذ قرار گرفته است.

به منظور بررسی نفوذ احتمالی لازم است اقدامات زیر انجام شود:

۱. بررسی لاگ‌های دسترسی webmail و جستجوی الگوی حمله
برای این کار به شرط در دسترس بودن لاگ‌های access log بلندمدت (بیش از یک ماه) می‌توان با جستجوی عبارت زیر، اقدام به سوء استفاده‌ از آسیب‌پذیری را بررسی کرد:
mboximport?account-name=admin

به عنوان نمونه، می‌توان در کنسول سیستم عامل میزبان زیمبرا به صورت زیرجستجوی فوق را انجام داد:
sudo grep -r "mboximport?account-name=admin" /opt/zimbra/log

۲. در صورت نفوذ موفق به سرور از این روش،‌ مهاجم از طریق بارگذاری webshell در سرویس دهنده‌ وب، امکان اجرای فرامین را از راه دور به‌دست می‌آورد. جهت کشف وب‌شل‌های بارگذاری شده‌ احتمالی، می‌توان نسبت به مقایسه فایل‌های “.jsp” سرویس‌دهنده وب با فهرست فایل‌های موجود در زیمبرا اقدام کرده و هر فایل مشاهده اضافی را مورد بررسی قرار داد. فهرست فایل‌های مجاز “.jsp” برخی از نسخه‌های زیمبرا در آدرس زیر موجود است:

https://github.com/volexity/threat-intel/tree/main/۲۰۲۲/۲۰۲۲-۰۸-۱۰%۲۰Mass%۲۰exploitation%۲۰of%۲۰(Un…

۳. در صورت تایید نفوذ مهاجمان به سرور:
• احتمال دسترسی مهاجم یه تمامی اطلاعات سرور ازجمله محتوای ایمیل‌ها وجود دارد.

• لازم است نسبت به نصب سرور جدید، نصب آخرین بروزرسانی و patch منتشر شده و انتقال تنظیمات و اطلاعات ایمیل‌ها به سرور جدید اقدام شود. جهت این کار می‌توان از راهنمای زیر استفاده نمود:

https://wiki.zimbra.com/wiki/Steps_To_Rebuild_ZCS_Server


کد مطلب: 19346

آدرس مطلب :
https://www.aftana.ir/news/19346/کشف-آسیب-پذیری-های-حساس-سرویس-دهنده-ایمیل-زیمبرا

افتانا
  https://www.aftana.ir