CVE-2018-6882
Synacor Zimbra Collaboration Suite (ZCS)
2022-04-19
Synacor Zimbra Collaboration Suite (ZCS) contains a cross-site scripting vulnerability that might allow remote attackers to inject arbitrary web script or HTML.
Технический анализ и план устранения
Суть уязвимости
Уязвимость типа Cross-Site Scripting (XSS) в веб-интерфейсе Zimbra Collaboration Suite (ZCS). Злоумышленник может создать специальную ссылку или сообщение, содержащее вредоносный JavaScript-код. Если аутентифицированный пользователь перейдет по такой ссылке или откроет такое сообщение, злонамеренный скрипт выполнится в его браузере в контексте сессии Zimbra. Это позволит атакующему: * Похитить сессионные куки и получить доступ к почтовому ящику жертвы. * Выполнять действия от имени пользователя (например, читать письма, отправлять сообщения). * Изменять настройки учетной записи.
Как исправить
Установите патченную версию Zimbra Collaboration Suite. Уязвимость исправлена в следующих релизах: * ZCS 8.8.9 и более поздние версии ветки 8.8.x. * ZCS 8.7.11 и более поздние версии ветки 8.7.x.
Процедура обновления (на примере Ubuntu/Debian):
1. Сделайте полную резервную копию системы и данных Zimbra.
2. Остановите все службы Zimbra:
bash
su - zimbra
zmcontrol stop
exit
3. Скачайте и установите патченную версию ZCS с официального сайта или из репозитория. Пример для установки из пакета .deb:
bash
# Перейдите в директорию с загруженным пакетом
cd /path/to/downloads/
# Установите пакет (имя файла может отличаться)
dpkg -i zcs-8.8.15_GA_3869.UBUNTU18_64.20211118033954.tgz
4. Запустите службы Zimbra:
bash
su - zimbra
zmcontrol start
exit
5. Проверьте, что все службы запущены корректно:
bash
su - zimbra
zmcontrol status
exit
Временное решение
Если немедленное обновление невозможно, примите следующие меры:
1. Настройте WAF (Web Application Firewall): Добавьте правила для блокировки X-атак. Пример правила для ModSecurity (CRS):
SecRule ARGS|ARGS_NAMES|REQUEST_BODY|REQUEST_HEADERS|XML:/* "@detectXSS" \
"id:941100,phase:2,deny,status:403,t:utf8toUnicode,t:urlDecodeUni,t:htmlEntityDecode,t:jsDecode,t:cssDecode,t:removeNulls,msg:'XSS Attack Detected',tag:'application-multi',tag:'language-multi',tag:'platform-multi',tag:'attack-xss',severity:'CRITICAL'"
2. Ограничьте доступ: Настройте сетевой фаервол (например, iptables или облачные группы безопасности) так, чтобы доступ к веб-интерфейсу Zimbra (порты 80, 443, 7071) был только с доверенных IP-адресов (офисная сеть, VPN).
bash
# Пример iptables для разрешения доступа только из сети 192.168.1.0/24
iptables -A INPUT -p tcp --dport 443 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j DROP
3. Повысьте осведомленность: Предупредите пользователей о недопустимости перехода по подозрительным ссылкам в письмах, даже от известных отправителей.