Zimbra Webmail Server を完全に乗っ取る脆弱性とは?

Flaws in Zimbra could allow to takeover webmail server of a targeted organization

2021.07/27 SecurityAffairs — サイバー・セキュリティ研究たちが、Eメール・コラボレーション・ソフトウェア Zimbra に、脆弱性 CVE-2021-35208 / CVE-2021-35208 が存在することを発見した。認証されていない攻撃者であっても、これらの脆弱性を悪用することで、標的となる組織の Zimbra Web メール・ サーバを完全に乗っ取ることが可能となる。攻撃者は、この脆弱性を使って悪意のメッセージを送信し、メール・アカウントを危険にさらす可能性がある。この脆弱性は、SonarSource の脆弱性研究者である Simon Scannell により発見された。Zimbra は、20万社以上の企業および、1,000以上の政府や金融機関で使用されているため、この脆弱性の影響は深刻である。

CVE-2021-35208 は、Zimbra Collaboration Suite 8.8.x 8.8.15 Patch 23 以前の、Calendar Invite コンポーネントの ZmMailMsgView.js に存在する、蓄積型 XSS 脆弱性であり CVSS スコアは 5.4 と評価されている。SonarSource が発表した記事には、「1つ目の脆弱性は、クロスサイト・スクリプティングのバグ CVE-2021-35208 であり、被害者のブラウザ上で受信メールが表示されたときに、誘発される可能性がある。

そこで使われる悪意の電子メールには、細工された JavaScript のペイロードが含まれており、これが実行されると、被害者の全ての電子メールや Web メール・セッションに、攻撃者はアクセスできるようになる。したがって、Zimbra の他の機能にアクセスし、さらなる攻撃を仕掛けることも可能になる。攻撃者は、実行可能な JavaScript を含むHTMLを、要素アトリビュート内に置くことができる。このマークアップはエスケープされなくなることで、ドキュメント内に任意のマークアップが注入されてしまう」と説明されている。

2つ目の脆弱性 CVE-2021-35209 の CVSS スコア は 6.1 である。Zimbra Collaboration Suite 8.8 の 8.8.15 Patch 23 以前および、9.x の 9.0.0 Patch 16以前の、/proxy サーブレットの ProxyServlet.java に存在する、オープン・リダイレクトの脆弱性である。SonarSource は、「2つ目の脆弱性は、許可リストのバイパスという興味深いものであり、強力なサーバーサイド・リクエスト・フォージェリにつながる。この脆弱性は、任意の権限を持つ組織の、認証されたメンバーにより悪用される可能性があり、1つ目の脆弱性と組み合わせることも可能だ。

リモートの攻撃者は、クラウドイ・ンフラストラクチャ内のインスタンスから、たとえば Google Cloud API トークンや、AWS IAM クレデンシャルを抽出することができる。プロキシされたリクエストでは、X-Host ヘッダ値が Host ヘッダ値を上書きする。X-Host ヘッダ値は、Zimbra がプロキシを許可しているホストの、ホワイトリスト (zimbra-Proxy-Allowed-Domains 設定) と照合されない。この脆弱性は、Zimbra バージョン 8.8.15 Patch 23 および 9.0.0 Patch 16 で修正されている」とアドバイザリに記載している。

SonarSource の Simon Scannell は、「これらの脆弱性の組み合わせにより、認証されていない攻撃者であっても、標的となる組織の Zimbra Web メールサーバを完全に侵害することができる。その結果、すべての従業員の送受信した電子メールに対して、攻撃者は無制限にアクセスできるようになる」と述べている。Zimbra は、これらの脆弱性について、顧客に対するアラートを発表した。

Zimbra って、結構メジャーな Web メールなんですね。名前はよく見ても、これほどまで使われているサービスだとは思いませんでした。本文で解説されている脆弱性ですが、手元のデータベースを参照してみたら、7月の13日と16日にチェックされていました。 また、NVD も調べましたが、CVSS 値が上がっているようなことも有りません。でも、この記事を読む限り、放置すると大変なことになりそうです。早めのアップデートがお薦めです。

%d bloggers like this: