CVE-2019-9621

Synacor Zimbra Collaboration Suite (ZCS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-07-07

Официальное описание

Synacor Zimbra Collaboration Suite (ZCS) contains a server-side request forgery (SSRF) vulnerability via the ProxyServlet component.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-9621 представляет собой критическую уязвимость класса Server-Side Request Forgery (SSRF) в компоненте ProxyServlet почтового сервера Zimbra Collaboration Suite (ZCS).

Проблема заключается в недостаточной валидации URL-адресов, передаваемых серверу. Злоумышленник может отправить специально сформированный запрос к /service/proxy, что заставит сервер выполнить HTTP-запрос от своего имени. В контексте Zimbra это позволяет: * Обходить межсетевые экраны и обращаться к внутренним ресурсам сети. * Извлекать конфиденциальные данные и учетные данные (например, метаданные облачных провайдеров AWS/GCP). * В сочетании с другими уязвимостями (например, CVE-2019-9670) получить полный контроль над сервером (RCE).

Как исправить

Основным способом устранения является обновление Zimbra Collaboration Suite до версий, в которых данная уязвимость была закрыта.

  1. Проверьте текущую версию ZCS:
zmcontrol -v
  1. Обновите систему до актуального патча. Уязвимость исправлена в следующих версиях (и выше):
  2. ZCS 8.7.11 Patch 10
  3. ZCS 8.8.11 Patch 3

  4. ZCS 8.8.12

  5. Для установки обновлений на Ubuntu/Debian:

apt-get update && apt-get upgrade
  1. Для установки обновлений на RHEL/CentOS:
yum update
  1. После обновления пакетов перезапустите сервисы Zimbra:
zmcontrol restart

Временные меры

Если немедленное обновление невозможно, необходимо ограничить доступ к компоненту ProxyServlet или настроить фильтрацию на уровне обратного прокси-сервера.

  1. Ограничьте доступ к /service/proxy на уровне конфигурации Nginx (Zimbra Proxy), разрешив запросы только из доверенных сетей или полностью заблокировав внешние вызовы к этому эндпоинту, если проксирование не используется внешними клиентами.

  2. Настройте правила межсетевого экрана (iptables/nftables), чтобы запретить серверу Zimbra инициировать исходящие соединения на нестандартные порты или к чувствительным внутренним адресам (например, 169.254.169.254 для облачных сред).

  3. Включите строгую проверку параметров в ProxyServlet через конфигурацию Zimbra (требует глубокого понимания архитектуры конкретной инсталляции):

zmprov mcf zimbraProxyAllowedDomains *.yourdomain.com
  1. Регулярно проверяйте логи почтового сервера на предмет подозрительных запросов к /service/proxy:
grep "/service/proxy" /opt/zimbra/log/mailbox.log
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей