XSS sebezhetőség a Zimbra Classic Web Clientben

A Zimbra biztonsági csapata sürgős frissítést kér ügyfeleitől egy kritikus, e-mailen keresztül kihasználható XSS sebezhetőség miatt, amely a klasszikus webes levelezőkliens felhasználóit veszélyezteti. A hiba a „Classic Web Client” (más néven Classic UI) nevű webmail felületet érinti.

A sebezhetőség egy stored cross-site scripting hiba, amelyhez a nyilvánosságra hozatal idején még nem rendeltek CVE-azonosítót. A támadók speciálisan kialakított e-maileken keresztül tudják kihasználni. Ha a felhasználó megnyitja az ilyen üzenetet, a benne rejtett kártékony kód automatikusan végrehajtódik a böngészőjében. Sikeres kihasználás esetén a támadók ellophatják a felhasználó munkamenet adatait, fiókbeállításait vagy akár a teljes postafiók tartalmát is.

A Zimbra kiadta a 10.1.19-es verziót, amely orvosolja a hibát. Minden olyan ügyfélnek, aki a Classic Web Clientet használja, azonnal frissítenie kell a ZCS 10.1.19-es verzióra. A hiba kizárólag a Classic Web Client felhasználóit érinti, a modern webes felület nem veszélyeztetett.

Bár a Zimbra a közzététel időpontjában még nem jelezte, hogy a hibát valós támadásokban is kihasználták volna, magát a sérülékenységet a Google Threat Analysis Group (TAG) jelentette. Ez a csapat rendszeresen azonosít állami háttérrel rendelkező hackercsoportok által bevetett zero-day sebezhetőségeket, jellemzően magas kockázatú célpontok, például politikusok és újságírók elleni támadásokban.

A Zimbra rendszerekben talált biztonsági hibákat az elmúlt években rendszeresen kihasználták orosz állami háttérrel rendelkező hackercsoportok, több ezer sebezhető szerver kompromittálására. Néhány korábbi, hasonló jellegű eset jól illusztrálja ezt a mintázatot:

A Winter Vivern nevű, oroszbarát hackercsoport 2023. februárjában egy reflected XSS-exploitot használt Zimbra webmail portálok feltörésére, és NATO-hoz kötődő szervezetek, valamint kormányzati tisztviselők, katonai személyzet és diplomaták e-mailjeit lopta el.

2024. októberében az amerikai és brit kiberbiztonsági hatóságok figyelmeztettek, hogy az APT29 (más néven Midnight Blizzard vagy Cozy Bear), az orosz külföldi hírszerzési szolgálathoz köthető csoport „tömeges méretekben” célzott sebezhető Zimbra szervereket egy korábban e-mail fiók hitelesítő adatok ellopására is használt exploittal.

Idén márciusban a CISA elrendelte az amerikai szövetségi ügynökségek számára egy Zimbra XSS sürgős javítását, amelyet az orosz katonai hírszerzéshez köthető APT28 csoport használt ukrán kormányzati szervek elleni támadásokban.

A Zimbra rendszergazdáknak érdemes minél előbb elvégezni a frissítést, mivel a levelezőrendszerek jellemzően kritikus fontosságú hitelesítési és adatmegosztási csatornaként működnek egy szervezet infrastruktúrájában, így egy sikeres kompromittálás könnyen továbbterjedhet más rendszerekre is.

(bleepingcomputer.com)