Zimbra의 취약점, 타깃 조직의 웹 메일 서버 탈취 허용할 수 있어

 

 

Flaws in Zimbra could allow to takeover webmail server of a targeted organization

 

사이버 보안 연구원들이 Zimbra 이메일 협업 소프트웨어에서 CVE-2021-35208, CVE-2021-35209를 포함한 보안 취약점 다수를 발견했습니다.

 

인증되지 않은 공격자는 이러한 취약점을 통해 타깃 조직의 Zimbra 웹 메일 서버를 완전히 탈취할 수 있습니다. 공격자는 악성 메시지를 보내 이메일 계정을 해킹할 수 있는 취약점을 트리거할 수 있습니다. 이 취약점은 SonarSource의 취약점 연구원인 Simon Scannell이 발견했습니다.

 

Zimbra는 기업 20만 곳 이상과 정부 및 금융기관 1천 곳 이상에서 사용되는 만큼 이 취약점이 끼치는 영향은 매우 심각할 수 있습니다.

 

CVE-2021-35208은 Zimbra Collaboration Suite 8.8.15 패치 23 이전의 8.8.x 버전의 캘린더 초대 컴포넌트 내 ZmMailMsgView.js에 존재하는 Stored XSS 취약점으로 CVSS 점수 5.4점을 받았습니다.

 

Sonarsource는 이에 대해 아래와 같이 언급했습니다.

 

“첫 번째 취약점은 크로스 사이트 스크립팅 취약점(CVE-2021-35208)으로, 피해자가 수신한 이메일을 열람할 때 브라우저에서 트리거될 수 있습니다. 악성 이메일은 특수 제작된 JavaScript 페이로드를 포함할 가능성이 있습니다. 해당 페이로드는 실행될 경우 공격자가 피해자의 모든 이메일 및 웹메일 세션에 접근하도록 허용합니다.”

“이를 통해 Zimbra의 다른 기능에 대한 접근 권한을 얻을 수 있고, 추가 공격을 실행할 수 있습니다. 공격자는 실행 가능한 JavaScript를 포함한 HTML을 요소 속성 내에 포함시킬 수 있습니다. 해당 마크업은 이스케이프 처리 되지 않아 문서에 임의 마크업이 주입될 수 있습니다.”

 

CVE-2021-35209(CVSS 점수: 6.1)로 등록된 두 번째 취약점은 Zimbra Collaboration Suite 8.8.15 패치 23 이전의 8.8.x 버전, 9.0.0 패치 16 이전 버전의 /proxy servlet 내 ProxyServlet.java에 존재하는 프록시 서블릿 오픈 리디렉트 취약점입니다.

 

“두 번째 취약점은 강력한 서버측 요청 위조 취약점 (CVE-2021-35209)으로 이어지는 허용 목록 우회 취약점으로 꽤 흥미롭습니다. 이는 권한을 가진 인증된 조직원이 악용 가능해 첫 번째 취약점과 결합될 수 있습니다. 이후 원격 공격자는 클라우드 인프라 내 인스턴스에서 Google Cloud API 토큰이나 AWS IAM 크리덴셜을 추출해낼 수 있습니다.”

“X-Host 헤더 값은 프록싱된 요청 내 Host 헤더 값을 덮어쓰기합니다. X-Host 헤더 값은 Zimbra가 프록싱하도록 허용된 호스트의 화이트리스트(zimbraProxyAllowedDomains 설정)에 대해 검사되지 않습니다.”

 

이 취약점은 Zimbra 버전 8.8.15 패치 23 및 9.0.0 패치 16을 통해 해결되었습니다.

 

Scannell은 아래와 같이 밝혔습니다.

 

"이러한 취약점의 조합으로 인증되지 않은 공격자가 타깃 조직의 Zimbra 웹메일 서버 전체를 해킹할 수 있습니다. 결과적으로 공격자는 모든 직원의 송/수신 이메일 전체에 무제한으로 접근 가능합니다.”

 

 

 

 

 

출처:

https://securityaffairs.co/wordpress/120603/hacking/zimbra-vulnerabilities.html

https://blog.sonarsource.com/zimbra-webmail-compromise-via-email

https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories

https://nvd.nist.gov/vuln/detail/CVE-2021-35208

https://nvd.nist.gov/vuln/detail/CVE-2021-35209