Zimbra è una suite open source di messaggistica, con webmail, creazione e gestione di documenti web e calendario cloud. Molte aziende e istituzioni utilizzano questo servizio di messaggistica, il quale funziona collegando informazioni e attività degli utenti al cloud e, ogni giorno, milioni di persone lo usano per la posta elettronica.
Recentemente però, sono state scoperte due vulnerabilità nel codice del servizio, grazie agli esperti di sicurezza di SonarSource. Si tratta di vulnerabilità che potrebbero permettere ai malintenzionati di compromettere i server a tutte le aziende che utilizzano Zimbra.
Come dicevamo, le vulnerabilità in questione sono due:
Attivata quando un utente accede alle e-mail da Zimbra. L’e-mail contenente il malware avrà un sofisticato payload JavaScript. Al momento dell’esecuzione del payload, un utente malintenzionato avrà accesso completo a tutte le caselle di posta elettronica in arrivo e in uscita della vittima (ad eccezione delle informazioni sulla sessione di webmail), oltre all’accesso completo ad altre funzioni della suite Zimbra.
Una vulnerabilità di falsificazione di richieste lato server (CVE-2021-35209) porta a una possibile e potente falsificazione di richieste lato server ignorando l’elenco consentito di controllo degli accessi. Secondo i ricercatori, questa vulnerabilità può essere utilizzata per sfruttare il server utilizzando qualsiasi utente autenticato, indipendentemente dai suoi privilegi.
In una di queste situazioni, gli aggressori potrebbero installare codice JavaScript dannoso tramite il client Web Zimbra basato su Ajax, HTML statico e ottimizzazione mobile, e quindi essere in grado di eseguire la rimozione del contenuto HTML nella posta ricevuta dal server.
Vulnerabilità SSRF
Le applicazioni più a rischio con questo tipo di vulnerabilità, sono quelle native del Cloud, in quanto consentono a un utente malintenzionato di impostare intestazioni arbitrarie nella richiesta in uscita e di leggere la risposta. Gli attacchi SSRF, possono essere mitigati impedendo al gestore della richiesta HTTP di seguire i reindirizzamenti.
Sebbene il software si sia evoluto per stare al passo con l’ambiente dell’ufficio sempre più virtualizzato, queste vulnerabilità dimostrano la necessità di una vigilanza costante nella sicurezza della catena di fornitura del software. Zimbra ha svolto un lavoro esemplare nell’accelerare lo sviluppo e il rilascio delle patch una volta scoperte le vulnerabilità, ma questa situazione serve ancora a ricordare che oltre ai fornitori di software che migliorano i processi relativi alla sicurezza nella fase di sviluppo del software, è anche fondamentale ricordare ai dipendenti di diffidare delle e-mail sospette e addestrarli a individuare malware e quali azioni intraprendere quando ricevono allegati non richiesti, anche perché il software non può fare tutto da solo…
Per leggere l’articolo completo tratto dal blog di Ridge Security clicca qui
COMPILA IL FORM PER MAGGIORI INFORMAZIONI SU RIDGE SECURITY