Falha zero-day do Zimbra exige uma correção manual

Infelizmente para os usuários dessa popular plataforma de e-mail e colaboração, a nova falha zero-day do Zimbra exige uma correção manual.

Zimbra é uma plataforma de e-mail e colaboração amplamente adotada que é atualmente empregada por mais de 200.000 empresas em 140 países, incluindo mais de 1.000 organizações governamentais e financeiras em todo o mundo.

Agora, a Zimbra pediu aos administradores para que eles corrijam manualmente uma vulnerabilidade zero-day explorada ativamente para atingir e comprometer os servidores de e-mail do Zimbra Collaboration Suite (ZCS).

Falha zero-day do Zimbra exige uma correção manual

Falha zero-day do Zimbra exige uma correção manual
Falha zero-day do Zimbra exige uma correção manual

Sim. A nova Falha zero-day do Zimbra exige uma correção manual. A falha de segurança (atualmente sem um ID CVE) é um Cross-Site Scripting (XSS) refletido descoberto e relatado pelo pesquisador de segurança Clément Lecigne do Google Threat Analysis Group.

“Uma vulnerabilidade de segurança no Zimbra Collaboration Suite versão 8.8.15 que poderia afetar a confidencialidade e a integridade de seus dados surgiu. [..] A correção está planejada para ser entregue no lançamento do patch de julho”, alertou a empresa na quinta-feira via um aviso que não informa aos clientes que o bug também está sendo abusado na natureza.

Como parte dos ataques XSS, os agentes de ameaças podem roubar informações confidenciais do usuário ou executar códigos maliciosos em sistemas vulneráveis.

Embora o Zimbra não tenha revelado que a falha foi usada em ataques, Maddie Stone, do Google TAG, revelou que a vulnerabilidade XSS foi descoberta enquanto era explorada em um ataque direcionado.

Falha zero-day do Zimbra exige uma correção manual
Falha zero-day do Zimbra exige uma correção manual

Embora o Zimbra ainda não tenha fornecido patches de segurança para lidar com essa falha zero-day explorado ativamente, ele forneceu uma correção que os administradores podem aplicar manualmente para remover o vetor de ataque.

“Para manter o mais alto nível de segurança, pedimos sua cooperação para aplicar a correção manualmente em todos os nós de sua caixa de correio”, disse a empresa.

O procedimento necessário para mitigar manualmente a vulnerabilidade em todos os nós de caixa de correio exige que os administradores sigam as seguintes etapas:

  1. Faça um backup do arquivo /opt/zimbra/jetty/webapps/zimbra/m/momoveto
  2. Edite este arquivo e vá para a linha número 40
  3. Atualize o valor do parâmetro para  <input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
  4. Antes da atualização, a linha aparecia como  <input name=”st” type=”hidden” value=”${param.st}”/>

A inclusão da função escapeXml() agora limpará os dados inseridos pelo usuário escapando caracteres especiais usados na marcação XML para evitar falhas de XSS.

A correção pode ser aplicada sem tempo de inatividade porque uma reinicialização do serviço Zimbra não é necessária para aplicar a mitigação.

Os administradores devem priorizar a mitigação dessa falha zero-day, uma vez que vários bugs do Zimbra foram explorados em estado selvagem para violar centenas de servidores de e-mail vulneráveis em todo o mundo nos últimos anos.

Por exemplo, já em junho de 2022, o desvio de autenticação do Zimbra e os bugs de execução remota de código foram explorados para violar mais de 1.000 servidores.

A partir de setembro de 2022, os hackers começaram a abusar de uma vulnerabilidade RCE não corrigida no Zimbra Collaboration Suite, comprometendo quase 900 servidores vulneráveis em dois meses.

O grupo de hackers russo Winter Vivern também usou explorações visando outro bug XSS refletido desde fevereiro de 2023 para violar portais de webmail de governos alinhados à OTAN e roubar caixas de correio de e-mail pertencentes a funcionários, governos, militares e diplomatas.

Um porta-voz da Synacor (empresa controladora da Zimbra) não estava imediatamente disponível para comentar quando contatado pela BleepingComputer hoje cedo.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.