Zimbra Collaboration - Zero-day XSS Sicherheitslücke

In der Groupware Zimbra Collaboration Suite ZCS wurde eine Sicherheitslücke entdeckt, die es einem Angreifer erlaubt, nicht authorisierte Operationen in einem Benutzeraccount auszuführen, E-Mails zu lesen und zu versenden. Damit diese Sicherheitslücke ausgenutzt werden kann, müssen folgende Bedingungen erfüllt sein:

• Der Benutzer muss über das Web-UI am Zimbra Web-Client angemeldet sein, oder der Browser hat noch einen gültigen Session- Cookie gespeichert.
• Der Benutzer muss eine entsprechend präparierte Phishing E-Mail in seinem Posteingang haben.
• Der Benutzer muss den Link in dieser Phishung E-Mail aktiv anklicken, sodass der Link im Browser geöffnet wird.

Betroffen von dieser Sicherheitslücke sind alle Zimbra ZCS Versionen die älter als ZCS 9.0.0 sind. Mit Stand vom 05.02.2022 12:00 Uhr liegen entsprechende Patches sowohl für aktuelle, als auch für ältere (eigentlich nicht mehr unterstützte) Versionen vor. Der Patch ist auf allen von managedhosting.de betriebenen Instanzen bereits installiert.

Bei näherer Betrachtung handelt es sich auch nicht direkt bzw. nur z. T. um ein XSS (Cross-Site-Scripting) Problem. Die eigentliche Ursache ist eine mangelnde Parameter- bzw. Eingabekontrolle im Quelltext des Legacy- HTML- Clients.

Weiterführende Informationen:

• Veröffentlichung von Volexity zur Sicherheitslücke:
  Operation EmailThief: Active Exploitation of Zero-day XSS Vulnerability in Zimbra
• Thread im Zimbra Forum mit Anleitungen zur Beseitigung der Sicherheitslücke:
  https://forums.zimbra.org/viewtopic.php?f=15&t=70382
• Bugfix (Patch) auf GitHub:
  https://github.com/Zimbra/zm-web-client/pull/672/commits/76c23a937d2ab40cdfafad1d7a3546bfbf354704
• John Holders Stellungnahme im Forum:
  https://forums.zimbra.com/viewtopic.php?f=15&t=70382&sid=45d617b097e93b76061a52c5df000104&start=10#p303849