Alerta de seguridad
Nivel de peligrosidad: Alto
Descripción
La falla de seguridad (que actualmente carece de una ID de CVE) es un Cross-Site Scripting (XSS) reflejado descubierto e informado por el investigador de seguridad Clément Lecigne de Google Threat Analysis Group.
Como parte de los ataques XSS, los actores de amenazas podrían robar información confidencial del usuario o ejecutar código malicioso en sistemas vulnerables.
Si bien Zimbra no reveló que la falla se usó en ataques, Maddie Stone de Google TAG reveló hoy que la vulnerabilidad XSS se descubrió mientras se explotaba en un ataque dirigido.
Si bien Zimbra aún no ha proporcionado parches de seguridad para abordar este fallo explotado activamente, proporcionó una solución que los administradores pueden aplicar manualmente para eliminar el vector de ataque.
Recursos afectados
- Zimbra Collaboration Suite Version 8.8.15
Mitigación
El procedimiento necesario para mitigar la vulnerabilidad en todos los nodos de buzón de forma manual requiere que los administradores realicen los siguientes pasos:
- Realice una copia de seguridad del archivo /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Edite este archivo y vaya a la línea número 40
- Actualice el valor del parámetro como: <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>
- Antes de la actualización, la línea aparecía como: <input name="st" type="hidden" value="${param.st}"/>
La inclusión de la función escapeXml() ahora limpia los datos ingresados por el usuario escapando de los caracteres especiales utilizados en el XML y para evitar fallas XSS.
La solución no requiere reiniciar el servicio de Zimbra para aplicar la contramedida.
Recomendaciones
Se recomienda a todos los administradores aplicar la solución manual para no sufrir un ataque de día cero hacia su servidor zimbra, debido a que un ataque exitoso compromete potencialmente la confidencialidad e integridad de los datos.