Nota o łatce, którą czyta się jak odliczanie

Komunikat Zimbry był krótki i konkretny. Każdy, kto używa Classic Web Client w Zimbra Collaboration, powinien przejść na wersję 10.1.19, i to szybko. Firma określiła lukę jako krytyczną, najmocniejszym słowem, jakiego używa, a większość uzasadnienia zostawiła czytelnikowi.

Dla administratora otwierającego tę notę w poniedziałkowy poranek znaczenie jest jasne. Platforma pocztowa stojąca w centrum organizacji ma dziurę właśnie w tej części, która wyświetla wiadomości, a zegar naprawy już tyka.

Co luka faktycznie robi

Błąd to przechowywany cross-site scripting. Atakujący wysyła specjalnie spreparowany e-mail, a gdy odbiorca otwiera go w Classic Web Client, kod kontrolowany przez atakującego wykonuje się w sesji przeglądarki, zamiast pozostać martwym tekstem. Stamtąd może odczytać dane sesji, ustawienia konta i zawartość skrzynki.

Poza otwarciem wiadomości nie jest potrzebne żadne kliknięcie w link i nie trzeba instalować żadnego złośliwego oprogramowania. Ofiara po prostu czyta swoją pocztę. Zimbra naprawiła problem w 10.1.19, a identyfikator CVE nie został jeszcze przydzielony, co jest typowe w pierwszych dniach po łatce producenta.

Dlaczego odcisk Google resetuje zegar

Szczegółem, który powinien zmienić pilność, jest to, kto zgłosił lukę. Była to Threat Analysis Group Google, jednostka śledząca włamania wspierane przez państwa i ataki na użytkowników wysokiego ryzyka. TAG rzadko ujawnia rutynowe błędy, więc jej zaangażowanie sygnalizuje lukę o wiarygodnej wartości szpiegowskiej.

Zimbra ma tu długą historię. Grupy powiązane z państwami, w tym APT28, APT29 i Winter Vivern, uzbroiły wcześniejsze luki Zimbry przeciw skrzynkom rządowym, wojskowym i dyplomatycznym oraz przeciw celom ukraińskim, często w ciągu tygodni od ujawnienia. Ta luka nie jest jeszcze oznaczona jako wykorzystywana, ale właśnie ta historia tłumaczy, dlaczego odstęp między łatką a atakiem bywa krótki.

Klient Classic to cała ekspozycja

Dotknięty jest wyłącznie Classic Web Client, zwany też Classic UI. Nowszy interfejs nie jest celem. Brzmi to jak zawężenie ryzyka i w pewnym sensie tak jest, lecz kryje pułapkę: wiele organizacji zostawiło klienta Classic włączonego, aby wieloletni użytkownicy mogli zachować znany im układ.

Ten odziedziczony przełącznik jest teraz powierzchnią ataku. Przed zainstalowaniem łatki uczciwe pytanie operatora nie brzmi, czy Zimbra jest wdrożona, lecz kto w organizacji nadal ląduje na interfejsie Classic, bo to właśnie te konta spreparowany e-mail osiągnąłby najpierw.

Co zrobić, zanim pojawi się kod exploita

Bezpośrednim rozwiązaniem jest aktualizacja do ZCS 10.1.19. Tam, gdzie natychmiastowa aktualizacja nie jest możliwa, wyłączenie Classic Web Client usuwa odsłonięte pole, dopóki aktualizacji nie da się zaplanować, a traktowanie niezamówionej poczty do użytkowników poczty webowej jako podwyższonego ryzyka daje nieco marginesu.

Europejskie instytucje publiczne i operatorzy telekomunikacyjni stanowią dużą część bazy instalacyjnej Zimbry i są też profilem, po który aktorzy państwowi już sięgali. Dla nich kolejność jest prosta: załatać teraz, potwierdzić, że klienta Classic już nie ma, a następnie sprawdzić logi pod kątem wszystkiego, co dotarło przed poprawką.