Zimbra, una suite de oficina corporativa de código abierto, que consta de correo web, creación y gestión de documentos web, calendario y libreta de direcciones construidos para la nube. Más de 200.000 empresas y más de 1.000 instituciones gubernamentales y financieras utilizan el servicio de mensajería de Zimbra, que funciona conectando la información y las actividades de los usuarios finales a la nube privada, y cada día, millones de personas lo utilizan para intercambiar correos electrónicos.
Dos vulnerabilidades de código abierto descubiertas recientemente por expertos en seguridad de SonarSource podrían permitir a los atacantes comprometer los servidores de correo web de las empresas que utilizan Zimbra. Una combinación de estas vulnerabilidades podría permitir a un atacante no autentificado comprometer el servidor de correo web Zimbra de una organización. Como resultado, un atacante obtendría acceso sin restricciones a todos los correos electrónicos enviados y recibidos de todos los empleados.
Descripción de las vulnerabilidades:
- CVE-2021-35208 (puntuación CVSS: 5,4)- Cross-Site-Scripting (XSS) basado en DOM
- CVE-2021-35209 (puntuación CVSS: 6,1)- Falsificación de solicitud del lado del servidor (SSRF)
Una vulnerabilidad de cross-site scripting (CVE-2021-35208) se activará cuando un usuario acceda a correos electrónicos desde Zimbra. El correo electrónico que contiene el malware tendrá una sofisticada carga útil de JavaScript. Tras la ejecución de la carga útil, un atacante tendrá acceso completo a toda la bandeja de entrada y salida del correo electrónico de la víctima (con la excepción de la información de su sesión de correo web), junto con el acceso completo a otras funciones de la suite Zimbra, lo que permite una variedad de ataques adicionales.
Una vulnerabilidad de falsificación de peticiones del lado del servidor (CVE-2021-35209) conduce a una posible y potente falsificación de peticiones del lado del servidor, saltándose la lista permitida de control de acceso. Según los investigadores, esta vulnerabilidad puede utilizarse para explotar el servidor utilizando cualquier usuario autenticado, independientemente de sus privilegios.
En cualquiera de estas situaciones, los atacantes podrían instalar código JavaScript malicioso a través del cliente web de Zimbra basado en Ajax, HTML estático y optimización para móviles, y luego podrían ejecutar la eliminación del contenido HTML en el correo recibido por el servidor.
Las vulnerabilidades SSRF pueden ser extremadamente dañinas
Las aplicaciones nativas de la nube están en un riesgo especialmente alto de la categoría de vulnerabilidad SSRF. Esto se debe principalmente a que permiten a un atacante establecer cabeceras arbitrarias en la solicitud saliente, y también porque permite al atacante leer la respuesta.
Por ejemplo, si el servidor está alojado en Google Cloud Platform, se podría filtrar un token de acceso a la API falsificando una petición a:
https://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token
Mitigación
Los ataques SSRF como lo descrito anteriormente pueden ser mitigados al no permitir que el manejador de solicitudes HTTP siga las redirecciones. Tiene sentido validar el valor de la cabecera Location de la respuesta y crear una nueva petición después de haberla validado. Esto también protegería contra las vulnerabilidades de redireccionamiento abierto.
El ataque XSS descrito anteriormente se ha solucionado eliminando por completo el código que transformaba la etiqueta del formulario.
Descargue e instale los siguientes parches recomendados
- Parche 18 de la serie 8.8.15
- Parche 16 de la serie 9.0
Hubo algunos problemas con las versiones anteriores de estos parches que ya han sido reparados.
En conclusión
Aunque el software de la oficina corporativa virtual ha evolucionado para adaptarse a un entorno de oficina cada vez más virtualizado, estas vulnerabilidades demuestran la necesidad de una vigilancia constante en la seguridad de la cadena de suministro de software. Zimbra ha hecho un trabajo ejemplar al acelerar el desarrollo y la publicación de los parches una vez que se descubrieron las vulnerabilidades, pero esta situación sigue sirviendo como recordatorio de que, además de que los proveedores de software mejoren los procesos relacionados con la seguridad en la fase de desarrollo del mismo, también es crucial que las empresas recuerden a los empleados que deben ser cautelosos con los correos electrónicos sospechosos y les enseñen a detectar el malware, así como las medidas que deben tomar cuando reciben archivos adjuntos no solicitados. No se puede esperar que el software, por sí solo, se defienda del constante ataque de los métodos de ataque en constante evolución.