Zimbra 紧急提醒手动修复已遭利用的0day

ZCS 邮件服务器是使用广泛的邮件和协作平台，目前应用于全球140个国家的20多万个企业中，包括全球1000多个政府和金融组织机构。本周四，Zimbra 公司在安全公告中提醒称，“Zimbra Collaboration Suite 8.8.15版本中存在一个漏洞，可影响数据的机密性和完整性。修复方案计划在7月补丁发布中公布。”但该公司并未提到该漏洞已遭在野利用。

该漏洞是一个反射型 XSS 漏洞，由谷歌威胁分析团队 (TAG) 的研究员 Clément Lecigne 发现并报告。作为 XSS 攻击的一部分，攻击者人员可窃取敏感的用户信息或者在易受攻击系统上执行恶意代码。

虽然 Zimbra 公司并未透露该漏洞已遭利用，但谷歌TAG团队的研究员 Maddie Stone 批量称该漏洞是在一次针对性攻击中发现的。虽然 Zimbra 公司尚未发布安全补丁，但提供了管理员可手动应用以删除该攻击向量的修复方案。该公司指出，“要维护最高安全水平，我们建议您在所有邮箱节点上手动应用修复方案。”具体的缓解措施如下：

1、备份文件 /opt/zimbra/jetty/webapps/zimbra/m/momoveto

2、编辑该文件并到达第40行

3、将参数值更新为 <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>

4、在更新前，该代码行为  <input name="st" type="hidden" value="${param.st}"/>。

escapeXml() 函数将通过逃逸 XML 标记中使用的特殊字符阻止 XSS 缺陷来清理用户输入的数据。

无需重启 Zimbra 服务即可部署该缓解措施。

近年来，多个 Zimbra 漏洞遭在野利用以攻陷全球数百个易受攻击的邮件服务器，因此管理员应优先缓解该 0day 漏洞。

例如，2022年6月，Zimbra 认证绕过和远程代码执行漏洞被用于攻陷1000多台服务器。从2022年9月开始，黑客开始滥用位于 Zimbra Collaboration Suite 中的未修复 RCE 漏洞，在两个月的时间里攻陷近900台易受攻击的服务器。Winter Vivern俄罗斯黑客组织自2023年2月利用另外一个反射型XSS漏洞攻击与北约政府有关的网络邮件门户并窃取属于官员、政府、军队人员和外交人员的邮箱。

Zimbra 母公司 Synacor 的发言人暂未就此事置评。