공격자가 악성 이메일을 보내 이메일 계정을 손상시킬 수 있는 Zimbra 이메일 협업 소프트웨어의 결함을 발견됐다.

사이버 보안 연구원들은 Zimbra 이메일 협업 소프트웨어에서 CVE-2021-35208 및 CVE-2021-35208로 추적되는 여러 보안 취약점을 발견한 것이다.

인증되지 않은 공격자가 이러한 취약점을 연결해 대상 조직의 Zimbra 웹메일 서버를 완전히 탈취할 수 있다.

공격자는 악성 메시지를 보내 이메일 계정을 손상시킬 수 있는 결함을 유발할 수 있다.

Zimbra는 20만개 이상의 기업과 1천개 이상의 정부 및 금융 기관에서 사용되기 때문에 결함의 영향이 심각할 수 있다.

CVE-2021-35208 결함은 8.8.15 패치 23 이전의 Zimbra Collaboration Suite 8.8.x에 있는 Calendar Invite 구성 요소의 ZmMailMsgView.js에 있는 XSS 문제다. CVSS 점수는 5.4로 평가된다.

첫 번째 취약점은 수신 이메일을 볼 때 피해자의 브라우저에서 트리거될 수 있는 Cross-Site Scripting 버그(CVE-2021-35208)다.

악성 이메일에는 실행될 때 공격자가 피해자의 모든 이메일과 웹메일 세션에 대한 액세스 권한을 제공하는 조작된 자바스크립트 페이로드가 포함된다.

이를 통해 Zimbra의 다른 기능에 액세스할 수 있고 추가 공격이 시작될 수 있다. 공격자는 실행 가능한 자바스크립트가 포함된 HTML을 요소 속성 내에 배치할 수 있다.

CVE-2021-35209(CVSS 점수: 6.1)로 명명된 두 번째 결함은 8.8.15 패치 23 및 9.x 이전 Zimbra Collaboration Suite 8.8의 /proxy 서블릿에 있는 ProxyServlet.java에 있는 프록시 서블릿 오픈 리다이렉트 취약점이다.

두 번째 취약점은 강력한 서버 측 요청 위조 취약점(CVE-2021-35209)으로 이어지는 취약점이다. 권한 역할이 있는 조직의 인증된 구성원이 악용할 수 있다. 즉 첫 번째 취약점과 결합될 수 있다.

그러면 원격 공격자가 클라우드 인프라 내의 인스턴스에서 구글 클라우드 API 토큰 또는 AWS IAM 자격 증명을 추출할 수 있다.

이 취약점은 Zimbra 버전 8.8.15 패치 23 및 9.0.0 패치 16의 릴리스로 해결되었다.

보안연구원들은, 이러한 취약점 조합으로 인증되지 않은 공격자가 대상 조직의 전체 Zimbra 웹메일 서버를 손상시킬 수 있다고 전했다.

공격자는 모든 직원의 주고받은 모든 이메일에 무제한으로 액세스할 수 있다. Zimbra 사용자는 보안업데이트를 적용해야 안전할 수 있다.

★정보보안 대표 미디어 데일리시큐!★