Posted by Pada tanggal 3 Februari 2022, Volexity mempublish sebuah artikel tentang Zero-day XSS Vulnerability pada Zimbra 8.8.15. Jika dilihat dari timeline-nya, temuan tersebut diketahui ketika attacker mengirimkan email pada salah satu customer Volexity pada tanggal 14 Desember 2021. Lalu pada tanggal 16 Desember 2021, Volexity memberitahukan Zimbra terkait exploit tersebut disertai dengan PoC. Pada 28 Desember 2021, Zimbra mengkonfirmasi bahwa exploit bekerja/berimbas pada Zimbra terbaru. Lalu pada tanggal 11 Januari 2022, Volexity mengkontak organisasi pihak ketiga yang menjadi sasaran exploit yang sama. Tanggal 30 Januari 2022, Volexity menanyakan pada Zimbra apakah sudah ada update atau solusi resmi dari Zimbra untuk melindungi pelanggannya dari serangan exploit. Informasi resmi dari Volexity dapat dilihat pada tautan berikut: Operation EmailThief: Active Exploitation of Zero-day XSS Vulnerability in Zimbra
Pada tanggal 5 Februari 2022, Zimbra merilis hotfix untuk menutup celah tersebut. Informasi tersebut dipublish pada Zimbra Blog: Hotfix Available 5 Feb for Zero-day Exploit Vulnerability in Zimbra 8.8.15
Adapun beberapa rekomendasi dari Volexity diantaranya :
- Melakukan blocking terhadap daftar domain atau IP public pada Mail Gateway atau Network akses. Daftarnya dapat dilihat pada tautan berikut: IOCS
- Melakukan pengecekan history akses pada log /opt/zimbra/log/access*.log.
- Melakukan upgrade Zimbra versi 8.8.15 ke versi 9.0.0
Bagi pengguna Zimbra 8.8.15 pada OS Ubuntu 16.04 keatas atau CentOS/RHEL7 keatas, dapat langsung melakukan update patch dengan perintah apt update atau yum update. Berikut caranya:
# Backup File
mkdir -p /srv/ai/Patch30 cp /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/multiDay.tag /srv/ai/Patch30/ cp /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/monthView.tag /srv/ai/Patch30/
# Update Patch
Ubuntu
apt update -y && apt upgrade -y
CentOS
yum update -y && yum upgrade -y
# Cek Versi Zimbra
su - zimbra -c 'zmcontrol -v'
Release 8.8.15_GA_3829.RHEL7_64_20190718141144 RHEL7_64 NETWORK edition, Patch 8.8.15_P30.
Pada contoh pengecekan versi diatas, Zimbra 8.8.15 sudah menggunakan Patch 30. Namun pastikan patch 30 tersebut merupakan patch paling update (tanggal 5 Februari 2022) atau pembaharuan dari patch 30 tanggal 24 Januari 2022. Untuk mengeceknya, bisa membandingkan file yang sebelumnya dibackup
# Mengecek file hasil patch
diff /srv/ai/Patch30/multiDay.tag /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/multiDay.tag
Berikut hasilnya
Bisa dilihat perbedaan pada file sebelum dan sesudah dilakukan patch. Pada file hasil patch, ada tambahan fn:escapeXml. Jika hasilnya sudah sama seperti diatas, tandanya patch 30 yang digunakan versi 5 Feb 2022.
Bagi pengguna Ubuntu 14 atau CentOS 6, patch untuk Zimbra 8.8.15 hanya tersedia sampai versi 28. Meski demikian, proses patch dapat dilakukan dengan cara manual sebagai berikut:
# Download script Patch
Script patch ini diambil dari Zimbra Forum yang dibuat oleh JDunphy
curl -k https://raw.githubusercontent.com/imanudin11/script/master/xss-zeroDay.sh > /srv/ai/Patch30/xss-zeroDay.sh chmod +x /srv/ai/Patch30/xss-zeroDay.sh /srv/ai/Patch30/xss-zeroDay.sh
Bandingkan kembali file sebelum dan sesudah dipatch
diff /srv/ai/Patch30/multiDay.tag /opt/zimbra/jetty_base/webapps/zimbra/WEB-INF/tags/calendar/multiDay.tag
Jika hasilnya sama seperti diatas, maka proses manual patch selesai dilakukan.
Note: Jika rekan-rekan masih menggunakan Zimbra dibawah 8.8.15, saran saya segera lakukan upgrade ke versi 8.8.15 atau versi 9 (NE). Jika membutuhkan professional services, dapat menghubungi team Sales melalui tautan berikut: https://www.excellent.co.id/support-maintenance/
Silakan dicoba dan semoga bermanfaat 🙂