Zimbra upozorava na kritičnu Zero-Day grešku u email softveru

Zimbra je upozorila na kritičnu sigurnosnu Zero-Day grešku u svom email softveru koji je bio pod aktivnom eksploatacijom u praksi.

“Pojavila se sigurnosna ranjivost u Zimbra Collaboration Suite verziji 8.8.15 koja bi potencijalno mogla uticati na povjerljivost i integritet Vaših podataka” rekla je kompanija u savjetovanju.

Takođe je rečeno da je problem riješen i da se očekuje da će biti isporučen u julskom izdanju zakrpe. Dodatne pojedinosti o grešci trenutno nisu dostupne, iako je Zimbra rekla da je riješila problem kroz dezinfekciju unosa.

U međuvremenu, apelira na korisnike da primjene ručne popravke kako bi eliminisali vektor napada:

1. Napravite sigurnosnu kopiju datoteke /opt/zimbra/jetty/webapps/zimbra/m/momoveto
2. Uredite ovaj fajl i idite na red broj 40
3. Ažurirajte vrijednost parametra kao: <input name=”st” type=”hidden” value=”${fn:escapeXml(param.st)}”/>
4. Prije ažuriranja, linija je izgledala kao: <input name=”st” type=”hidden” value=”${param.st}”/>

Iako kompanija nije otkrila detalje o aktivnoj eksploataciji, istraživačica Google Threat Analysis Group-a (TAG) Maddie Stone rekla je da je otkrila da se greška u skriptovanju na više lokacija (XSS) zloupotrebljava u praksi kao dio ciljanog napada. TAG istraživač Clément Lecigne je zaslužan za otkrivanje i prijavu greške.

Otkrivanje dolazi kada je Cisco objavio zakrpe za otklanjanje kritične greške u svom softveru SD-WAN vManage (CVE-2023-20214, CVSS rezultat: 9.1) koje bi mogle omogućiti neautorizovanom udaljenom napadaču da dobije dozvole za čitanje ili ograničene dozvole za pisanje u konfiguraciju pogođene Cisco SD-WAN vManage instance.

“Uspješno iskorištavanje moglo bi omogućiti napadaču da preuzme informacije i pošalje informacije u konfiguraciju pogođene Cisco vManage instance” navodi kompanija. “Uspješno iskorištavanje moglo bi omogućiti napadaču da preuzme informacije i pošalje informacije u konfiguraciju pogođene Cisco vManage instance.”

Ranjivost je riješena u verzijama 20.6.3.4, 20.6.4.2, 20.6.5.5, 20.9.3.2, 20.10.1.2 i 20.11.1.2. Glavni proizvođač mrežne opreme rekao je da nije svjestan bilo kakve maliciozne upotrebe greške.

Izvor: The Hacker News