Zimbra просит админов вручную исправить 0-day уязвимость, находящуюся под атаками

Разработчики Zimbra призывают администраторов вручную исправить уязвимость нулевого дня, которая уже активно используется хакерами для взлома почтовых серверов Zimbra Collaboration Suite (ZCS).

Так как патча пока нет, администраторам предлагается временно защищаться вручную. Для этого рекомендуется предпринять следующие меры:

• создать резервную копию файла /opt/zimbra/jetty/webapps/zimbra/m/momoveto;
• отредактировать этот файл и перейти к строке номер 40;
• обновить значение параметра до <input name="st" type="hidden" value="${fn:escapeXml(param.st)}"/>;
• до обновления строка должна отображаться как <input name="st" type="hidden" value="${param.st}"/>.

Включение функции escapeXml() будет очищать введенные пользователями данные путем экранирования специальных символов, используемых в разметке XML. Отмечается, что исправление не требуется перезапуска службы Zimbra.

В настоящее время уязвимость еще не получила идентификатор CVE, но известно, что это XSS-баг, обнаруженный специалистами из команды Google Threat Analysis Group.

Хотя Zimbra не сообщает о том, что проблема уже используется в атаках, об этом предупреждает Мэдди Стоун (Maddie Stone) из Google TAG. По ее словам, XSS-уязвимость была обнаружена специалистами именно в ходе изучения таргетированной кибератаки.

 

Атаки на пользователей Zimbra с переменной интенсивностью наблюдается уже более года. На корпоративную почту периодически падает спам с уведомлением о необходимости перейти по ссылке для смены паролей.



Это в заголовке письма


ссылка на фейковую страницу