Zimbra es un cliente/servidor de correo y calendario, al estilo del Yahoo Mail en cuanto contenido y al estilo de Gmail en cuanto a velocidad. Para hacer un interfaz tan rápida han usado, al igual que Gmail, del lenguaje AJAX (Javascript + XML) que almacena parte de la página en el cliente.
¿Qué pasó?
Recientemente fue abordada una vulnerabilidad en Zimbra 9.0, la misma ha sido identificada y catalogada como CVE-2020-11737 de riesgo bajo, y afecta a una porcion de codigo desconocida del Cliente Web, en donde la manipulación del href (utilizado para indicar la URL a la que apunta un enlace) lleva a una vulnerabilidad del tipo XSS(Cross-site Scripting).
La explotación exitosa de este fallo, permitiría a un atacante remoto no autenticado crear enlaces maliciosos en un mensaje de correo o invitación de calendario, y así ejecutar un código JavaScript malicioso, lo que podría permitir al atacante obtener información confidencial, cambiar la apariencia de la página web, redirigir al usuario a sitios con malware, realizar ataques phishing y drive-by-download también conocida como descarga involuntaria de software, entre otros ataques.
Recomendaciones:
1. Esta vulnerabilidad ha sido abordada en la versión 9.0.0 Patch 2, por lo que es recomendable aplicar dicha actualización, para ello ejecute en la terminal de Linux los siguientes comandos:
En el caso de Ubuntu:
- sudo apt-get update
- sudo apt-get upgrade
- su – zimbra
- zmcontrol restart
En el caso de RedHat:
- yum clean metadata
- yum check-update
- yum update
- su – zimbra
- zmcontrol restart
Antes de esto es importante tener algunos aspectos en consideración:
- Realizar una copia de seguridad, ya que una vez aplicado el parche no es posible volver a la versión anterior, y
- Cambiar al usuario zimbra antes de hacer uso de los comandos ZCS CLI.
2. Instale un WAF (Web Application Firewall) que filtre las peticiones HTTP que contengan código malicioso.
Referencias: