نسخه متنباز سرویسدهنده ایمیل زیمبرا یکی از سرویسدهندههای ایمیل پرکاربرد در کشور است که توسط سازمانها و شرکتهای مختلف مورد استفاده قرار میگیرد. آسیب پذیری حیاتی به شناسهی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.
اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلودهای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.
ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.
درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیبپذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در این لینک نیز استفاده نمایید.
راهکار رفع این آسیبپذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.
جزییات و اطلاعات بیشتر در خصوص این آسیبپذیری و سواستفاده از آن در منابع زیر ارائه شده است:
https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670
https://forums.zimbra.org/viewtopic.php?f=15&t=65932
- 38