HIMBAUAN KERENTANAN PADA MAILBOX ZIMBRA COLLABORATION SUITE VERSI 8.8.15

Muhammad Ridwan Na'im 14 Juli 2023 - 09:17:39 WIB

Dua hari yang lalu zimbra mengumumkan kepada seluruh penggunanya mengenai isu kerentanan pada mailbox server Zimbra Collabiration Suite versi 8.8.15. Kerentanan yang diberi label ZBUG-3490: XSS in /m/momoveto via st (belum memiliki ID CVE) ini adalah sebuah kerentanan Reflected Cross-Site Scripting (XSS) yang ditemukan dan dilaporkan oleh peneliti keamanan Clément Lecigne dari Google Threat Analysis Group.

“Kerentanan keamanan di Zimbra Collaboration Suite Versi 8.8.15 yang berpotensi memengaruhi kerahasiaan dan integritas data Anda telah muncul. Kami menanggapi masalah ini dengan sangat serius dan telah mengambil tindakan segera untuk mengatasi masalah tersebut.” , tulis Zimbra pada blognya.

Sebagai bagian dari serangan XSS, peretas dapat mencuri informasi sensitif pengguna atau mengeksekusi kode berbahaya pada sistem yang rentan. Sementara Zimbra tidak mengungkapkan bahwa bug tersebut digunakan dalam serangan, Maddie Stone dari Google TAG kemarin mengungkapkan bahwa kerentanan XSS ditemukan saat sedang dieksploitasi dalam serangan yang ditargetkan.

Meskipun Zimbra belum menyediakan tambalan keamanan untuk mengatasi zero-day yang dieksploitasi secara aktif ini, Zimbra menyediakan perbaikan yang dapat diterapkan admin secara manual untuk menghapus vektor serangan.

"Untuk mempertahankan tingkat keamanan tertinggi, kami dengan hormat meminta kerja sama Anda untuk menerapkan perbaikan secara manual pada semua node kotak surat Anda," kata perusahaan itu.

Prosedur yang diperlukan untuk mengurangi kerentanan di semua node mailbox secara manual mengharuskan admin melakukan langkah-langkah berikut:

1. Lakukan backup terhadap file /opt/zimbra/jetty/webapps/zimbra/m/momoveto

2. Buka file tersebut lalu cari baris ke 40 di mana terdapat kode sumber yang rentan. Kode tersebut terlihat seperti berikut:

3. Lalu ubah kode tersebut menjadi:

4. Atau anda bisa membuat sebuah shell script seperti berikut:

#!/bin/sh

momoveto=/opt/zimbra/jetty/webapps/zimbra/m/momoveto

#momoveto=/tmp/momoveto

grep -q 'fn:escapeXml(param.st)' $momoveto

if [ $? -eq 1 ]; then

cp $momoveto $momoveto.bak

echo "Appying patch to $momoveto"

# <input name="st" type="hidden" value="${param.st}"/>

sed -i -e 's, <input name="st" type="hidden" value="${param.st}"/>, <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>,g' $momoveto

else

echo "nothing to patch"

5. Jika anda pengguna ansible, bisa menerapkan kode berikut:

- name: fix XSS in /m/momoveto (ZBUG-3490)
   replace:
     path: /opt/zimbra/jetty/webapps/zimbra/m/momoveto
     path: /opt/zimbra/jetty/webapps/zimbra/m/momoveto
     regexp: '\${param.st}'
     replace: '${fn:escapeXml(param.st)}'

Penyertaan fungsi escapeXml() akan melakukan sanitasi data yang dimasukkan pengguna dengan melakukan escaping special characters yang digunakan dalam markup XML untuk mencegah kerentanan XSS. Perbaikan dapat diterapkan tanpa downtime karena tidak perlu melakukan restart terhadap service zimbra untuk menerapkan mitigasi.