فا

‫ آسیب پذیری حیاتی  CVE-2019-9670 در سرویس دهنده Zimbra


آسیب پذیری حیاتی CVE-2019-9670 در سرویس دهنده ایمیل Zimbra

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

https://cert.ir/news/12685

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670

https://forums.zimbra.org/viewtopic.php?f=15&t=65932ایمیل Zimbra

نسخه متن‌باز سرویس‌دهنده ایمیل زیمبرا یکی از سرویس‌دهنده‌های ایمیل پرکاربرد در کشور است که توسط سازمان‌ها و شرکت‌های مختلف مورد استفاده قرار می‌گیرد. آسیب پذیری حیاتی به شناسه‌ی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های 8.5 الی 8.7.11 وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.

اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلوده‌ای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.

ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.

درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیب‌پذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:

https://cert.ir/news/12685

راهکار رفع این آسیب‌پذیری بروز رسانی به آخرین نسخه (8.8.12) و یا دریافت وصله ارائه شده برای نسخه فعلی است.

جزییات و اطلاعات بیشتر در خصوص این آسیب‌پذیری و سواستفاده از آن در منابع زیر ارائه شده است:

https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670

https://forums.zimbra.org/viewtopic.php?f=15&t=65932


نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

مشخصات خبر

تاریخ ایجاد: 30 خرداد 1398

برچسب‌ها

امتیاز

امتیاز شما
تعداد امتیازها: 0