新漏洞可以让黑客通过发送恶意电子邮件劫持Zimbra服务器

网络安全研究人员在 Zimbra 电子邮件协作软件中发现了多个安全漏洞，这些漏洞可能被利用来通过发送恶意消息来破坏电子邮件帐户，甚至在托管在云基础架构上时实现对邮件服务器的完全接管。

代码质量和安全解决方案提供商 SonarSource 的研究人员于 2021 年 5 月在 Zimbra 8.8.15中发现并报告了这些缺陷（跟踪为CVE-2021-35208和CVE-2021-35208）。此后，Zimbra 8.8 版中发布了缓解措施。

• CVE-2021-35208（CVSS 分数：5.4）- ZmMailMsgView.java 中存储的 XSS 漏洞
• CVE-2021-35209（CVSS 评分：6.1）- 代理 Servlet 开放重定向漏洞

“这些漏洞的组合可以使未经认证的攻击者危及完整的Zimbra公司的webmail有针对性的组织的服务器，”说SonarSource漏洞研究员西蒙·斯坎内尔，谁确定的安全弱点。“因此，攻击者可以不受限制地访问所有员工发送和接收的所有电子邮件。”

Zimbra 是面向企业的基于云的电子邮件、日历和协作套件，可作为开源版本和商业支持版本提供，具有附加功能，例如用于将邮件、日历和联系人同步到 Microsoft Outlook 的专有连接器 API ，等等。它被 160 个国家/地区的 200,000 多家企业使用。

CVE-2021-35208 涉及日历邀请组件中的跨站点脚本 ( XSS ) 漏洞，该漏洞可在受害者浏览器中查看包含 JavaScript 负载的特制电子邮件消息时触发，该负载在执行时授予对目标的访问权限整个收件箱以及 Web 客户端会话，然后可以被滥用以发起进一步的攻击。

问题源于以下事实：Zimbra Web 客户端——基于 Ajax 的桌面客户端、静态 HTML 客户端和移动优化客户端——在服务器端以某种方式对传入电子邮件的 HTML 内容进行清理这使不良行为者能够注入流氓 JavaScript 代码。

“使用服务器端清理的缺点是所有三个客户端都可能会在之后转换电子邮件的受信任 HTML 以以其独特的方式显示它，”Scannell 说。“转换已经清理过的 HTML 输入可能会导致 HTML 损坏，然后导致 XSS 攻击。”

另一方面，CVE-2021-35208 与服务器端请求伪造 ( SSRF ) 攻击有关，其中经过身份验证的组织成员可以将漏洞与上述 XSS 问题联系起来，以将 Zimbra 使用的 HTTP 客户端重定向到任意 URL 和从云中提取敏感信息，包括来自 AWS 的 Google Cloud API 访问令牌和 IAM 凭证，从而导致其受到攻击。

“Zimbra 想提醒其客户，他们可能会在 Proxy Servlet 中引入 SSRF 安全漏洞，”该公司在其公告中指出。“如果此 servlet 配置为允许特定域（通过zimbraProxyAllowedDomains配置设置），并且该域解析为内部 IP 地址（例如 127.0.0.1），则攻击者可能会访问在同一服务器上的不同端口上运行的服务，这通常不会公开曝光。”