Zimbra是一套開源協(xié)同辦公套件，包括WebMail、日歷、通信錄、Web文檔管理和創(chuàng)作。它通過將終端用戶的信息和活動連接到私有云中，為用戶提供了最具創(chuàng)新性的消息接收體驗，因此每天有超過20萬家企業(yè)和1000多家政府、金融機(jī)構(gòu)使用Zimbra與數(shù)百萬用戶交換電子郵件。

　　SonarSource的專家近期披露了開源 Zimbra代碼中的兩個漏洞。這些漏洞可能使未經(jīng)身份驗證的攻擊者破壞目標(biāo)企業(yè)的Zimbra網(wǎng)絡(luò)郵件服務(wù)器。借此，攻擊者就可以不受限制的訪問所有員工通過Zimbra傳輸?shù)碾娮余]件內(nèi)容。

　　劫持Zimbra服務(wù)器的漏洞：

　　CVE-2021-35208（CVSS評分：5.4）——跨站腳本錯誤（XSS）

　　CVE-2021-35209（CVSS評分：6.1）——服務(wù)器端請求偽造漏洞（SSRF）

　　安全專家表示，當(dāng)用戶瀏覽查看Zimbra傳入的電子郵件時，就會觸發(fā)跨站點腳本（CVE-2021-35208）漏洞。

　　惡意電子郵件會包含一個精心設(shè)計的JavaScript有效負(fù)載，當(dāng)該負(fù)載被執(zhí)行時，攻擊者將能夠訪問受害者所有的電子郵件（除了他們的WEBmail會話）。并獲取受害者在Zimbra組件中其它功能的訪問權(quán)限，發(fā)起進(jìn)一步的攻擊。

　　另一個服務(wù)器端請求偽造漏洞 （CVE-2021-35209） ，繞過了訪問控制的允許列表，導(dǎo)致強(qiáng)大的服務(wù)器端請求偽造。研究人員指出，該漏洞可以被任何權(quán)限角色的經(jīng)過身份驗證的組織成員利用。

　　上述情況說明了一個這樣的事實：基于Ajax、靜態(tài)HTML和移動優(yōu)化的Zimbra網(wǎng)頁客戶端，以一種使破壞者注入惡意的JavaScript代碼的方式，執(zhí)行清除服務(wù)器端接收郵件中的HTML內(nèi)容。

　　SSRF漏洞威脅強(qiáng)大有2個原因

　　SSRF漏洞已經(jīng)成為一個越來越危險的威脅類別，對云本地應(yīng)用尤甚。之所以強(qiáng)大一是因為它可以在傳出請求中設(shè)置任意標(biāo)頭，其次是可以讀取響應(yīng)內(nèi)容。

　　如果Zimbra實例托管在云供應(yīng)商處，可以從托管服務(wù)器的VM訪問元數(shù)據(jù)API，則可能會泄漏高敏感信息。

　　緩解措施

　　安全專家指出，通過禁止HTTP請求處理程序執(zhí)行重定向的方式來減輕SSRF攻擊。建議驗證Location響應(yīng)報頭的值，并在它被驗證后創(chuàng)建新的請求。這樣可以保護(hù)開放的重定向漏洞。XSS攻擊也可以通過完全刪除轉(zhuǎn)換表單標(biāo)簽的代碼的方式來修復(fù)。

　　可用的補(bǔ)丁

　　Zimbra團(tuán)隊修復(fù)了8.8.15系列的Patch 18和9.0系列的Patch 16的所有問題，這兩個分支的早期版本都有脆弱性漏洞。

　　安全牛評

　　隨著虛擬化協(xié)同辦公發(fā)展的深入，國內(nèi)的開源協(xié)同辦公軟件也逐漸成熟起來，然而Zimbra漏洞的披露彰顯了軟件供應(yīng)鏈安全的脆弱性。這一事件也提醒我們，軟件供應(yīng)鏈安全的提升需要從兩個維度出發(fā)，其一，對于軟件供應(yīng)商來說，通過軟件開發(fā)安全的相關(guān)流程來增強(qiáng)軟件安全性變得愈加重要；其二，對于軟件使用者，企業(yè)要提升員工的安全意識，軟件產(chǎn)品的穩(wěn)定性和安全性不是堅不可摧的，我們在使用過程中對于一些“可疑”的使用情況要提高警惕性。另一方面，Zimbra對漏洞的處理方式也為我們在網(wǎng)絡(luò)安全領(lǐng)域方面的發(fā)展提供了參考價值和借鑒意義。