کمیته رکن چهارم – مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) در اطلاعیهای نسبت به خطر عدم ترمیم یک آسیبپذیری حیاتی با شناسه CVE-2019-9670 در Zimbra که به گفته این مرکز یکی از سرویسدهندههای ایمیل پرکاربرد در کشور تلقی میشود هشدار داده است.
مشروح این اطلاعیه بهشرح زیر است:
نسخه متنباز سرویسدهنده ایمیل زیمبرا یکی از سرویسدهندههای ایمیل پرکاربرد در کشور است که توسط سازمانها و شرکتهای مختلف مورد استفاده قرار میگیرد. آسیب پذیری حیاتی به شناسهی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های ۸٫۵ الی ۸٫۷٫۱۱ وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.
اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلودهای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.
ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.
درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیبپذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:
راهکار رفع این آسیبپذیری بروز رسانی به آخرین نسخه (۸٫۸٫۱۲) و یا دریافت وصله ارائه شده برای نسخه فعلی است.
جزییات و اطلاعات بیشتر در خصوص این آسیبپذیری و سواستفاده از آن در منابع زیر ارائه شده است:
- https://blog.tint0.com/2019/03/a-saga-of-code-executions-on-zimbra.html
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-9670
- https://forums.zimbra.org/viewtopic.php?f=15&t=65932
نسخه متنباز سرویسدهنده ایمیل زیمبرا یکی از سرویسدهندههای ایمیل پرکاربرد در کشور است که توسط سازمانها و شرکتهای مختلف مورد استفاده قرار میگیرد. آسیب پذیری حیاتی به شناسهی CVE-2019-9670 در این سرویس دهنده به تازگی منتشر شده است. این آسیب پذیری خطرناک که در نسخه های ۸٫۵ الی ۸٫۷٫۱۱ وجود دارد، شرایطی را برای مهاجم فراهمی می سازد تا بتواند بدون هیچ گونه دسترسی قبلی و احراز هویت به سرور ایمیل حمله کرده و کنترل آن را بدست آورد. ضعف این آسیب پذیری از نوع XXE با شماره CWE-611 میباشد.
اخیرا حمله گسترده ای بر روی این آسیب پذیری با نام zmcat صورت گرفته است. برای بررسی آلوده بودن سرویس دهنده ایمیل می بایست لاگ های mailbox.log و nginx.access.log مورد بررسی قرار گیرد. درصورتی که حمله موفق صورت گرفته باشد، مهاجم به طریقی فایل آلودهای (payload) با پسوند JSP را برای سرور ارسال کرده که با اجرا شدن آن دسترسی مهاجم برقرار می شود.
ترتیب و نوع درخواست هایی که در حملات رایج به این آسیب پذیری صورت گرفته و عنوان فایل مخرب (payload) که توسط مهاجم ارسال شده در تصویر قابل مشاهده است.
درنظر داشته باشید که چنین ردپایی فقط مربوط به یک گروه حمله شناخته شده با سواستفاده از این آسیبپذیری است و در صورت عدم مشاهده آن، نمی توان اظهارنظر قطعی درباره آلوده نبودن سرور داشت. جهت بررسی احتمال آلودگی سرور می توانید از راهکارهای کلی ارایه شده در لینک زیر نیز استفاده نمایید:
راهکار رفع این آسیبپذیری بروز رسانی به آخرین نسخه (۸٫۸٫۱۲) و یا دریافت وصله ارائه شده برای نسخه فعلی است.
جزییات و اطلاعات بیشتر در خصوص این آسیبپذیری و سواستفاده از آن در منابع زیر ارائه شده است:
منبع : شبکه گستر