[Aktualizacja] Autorzy Zimbry nie łatają swojego demo na własnym serwerze

dodał 30 stycznia 2014 o 14:24 w kategorii Wpadki  z tagami:
[Aktualizacja] Autorzy Zimbry nie łatają swojego demo na własnym serwerze

Zimbra to dość popularny darmowy interfejs www do skrzynek poczty elektronicznej, używany przez wiele uczelni czy nawet instytucje państwowe. Niestety jest też podatny na błąd umożliwiający zdalne odczytanie hasła roota kilku usług serwera.

To, że w popularnych programach pojawiają się błędy, możemy zrozumieć. Nie możemy jednak zrozumieć, gdy znane błędy są łatane w taki sposób, że możliwe jest ich ponowne wykorzystanie. Świetny przykład takiej sytuacji przedstawił nam Smash_ z forum devilteam.pl. Oddajmy mu zatem głos (hasła występujące w tekście zostały lekko zmodyfikowane).

Aktualizacja: Popełniliśmy błąd. Dotychczasowy tytuł brzmiał „Uwaga, 0day w popularnym interfejsie poczty Zimbra” podczas kiedy powinien brzmieć „Autorzy Zimbry nie łatają swojego demo na własnym serwerze”. Niestety brak informacji o wersji i błędne założenie, że akurat tam powinna być aktualna, wprowadziły w błąd autora. Wersje 8.0.5 i wyższe powinny być bezpieczne. Pozostała część artykułu zachowana ku przestrodze, by wnikliwiej analizować odkrycia.

===

Szóstego grudnia roku 2013 na światło dziennie wyciekła informacja o świeżym błędzie LFI w najnowszej wtedy Zimbrze:
http://www.exploit-db.com/exploits/30085/
…dowiedziałem się o tym dopiero po tym, jak sam znalazłem ten błąd.

Załatany 23 stycznia błąd znajdował się w:

i pozwalał na zdalny odczyt plików, min. plik konfugracyjny Zimbry (localconfig.xml). Okazuje się, że Zimbra podeszła zdecydowanie źle do rozwiązania tego problemu. Wystarczyło encodować zapytanie GET (slashe), aby atak się powiódł.

Przykładowy request:

Odpowiedź serwera:

Sam byłem zdziwiony, że udało mi się odczytać plik passwd. Po chwili analizy znalazłem błąd wspomniany na samym początku i doszedłem do wniosku, że  teraz wystarczy poprosić jedynie o plik konfiguracyjny.

Odpowiedź:

Jednym słowem – fail.

Pozyskanymi danymi byłem w stanie z sukcesem zalogować się do panelu administratora tamtejszej zimbry https://demo2.zimbra.com:7071/zimbraAdmin/

Możliwa także była operacja utworzenia drugiego konta administratora z najwyższymi uprawnieniami.

What’s wrong with it-sec?

===

Wszystkim administratorom Zimbry rekomendujemy bardzo szybkie wyłączenie interfejsu do czasu opublikowania odpowiedniej łaty.