Zimbra 8.8.15 Zero-Day Exploit

Zimbra için sıfır gün açığı son 24 saat içinde kamuya açıklandı. Özetle, en son yama 30 dahil olmak üzere 8.8.15’in tüm yama seviyelerini etkiliyor gibi görünüyor. Bu istismar, çoğunlukla Zimbra 9’da kaldırılan Standart (HTML) web istemcisindeki takvimi hedefliyor, bu yüzden Zimbra 9 bu açıktan etkilenmiyor.

Açığın çalışması için aşağıdakilerin adımların hepsinin doğru olması gerekir:

  1. Bir Zimbra kullanıcısı, bir kimlik avı e-postasındaki bir URL’yi tıklamalıdır.
  2. Zimbra kullanıcısı, Klasik Zimbra Web İstemcisinde (Gelişmiş veya Standart Kullanıcı Arayüzü) oturum açmalıdır.
  3. Kullanıcı, saldırganın sitesinden enjekte edilen JavaScript’in arka planda yürütülmesine izin vererek tarayıcı penceresini bir süre açık tutmalıdır. Bu komut dosyası kullanıcının posta kutusundaki e-postaları çekiyor, ancak posta kutusu kullanıcısının oturumu ve posta kutusu verileri dışında Zimbra sunucusunun kendisini tehlikeye atıyor gibi görünmüyor.

İstismarın kamuya açıklanmış ayrıntıları https://www.volexity.com/blog/2022/02/03/operation-emailthief-active-exploitation-of-zero-day-xss-vulnerability-in-zimbra/ adresinde bulabilirsiniz. 05.12.2022 tarihinden itibaren Zimbra deposunda yama yayınlanmaya başlayacak.

Zimbra’nın 05.11.2022 tarihinde 8.8.15 için depolarında kullanıma sunmayı planladığı görünen şu anda QA’dan geçen düzeltme şu adreste bulunuyor: https://github.com/Zimbra/zm-web-client/pull/672