近日,国家信息安全漏洞共享平台CNVD收录了Zimbra邮件系统存在的一个文件包含国家信息安全漏洞共享平台工作委员会漏洞(收录编号: CNVD-2013-14944)。综合利用漏洞,攻击者可以读取邮件服务器配置文件,进一步利用渗透服务器主机,构成信息泄露和运行安全风险。具体情况通报如下:
一、漏洞情况分析
Zimbra是一款企业级邮件系统软件,在国内外应用较为广泛。由于在某处页面中存在文件包含漏洞,攻击者可以利用漏洞绕过限制读取未授权的主机操作系统文件或网站其他目录配置文件,如:Zimbar默认配置文件/opt/zimbra/conf/localconfig.xml。
测试结果表明,从上述配置文件中可获得Zimbra用户名和LDAP口令。若Zimbra服务器集成开放SOAP服务和7071后台管理端口,则可通过SOAP服务可直接添加新的管理权限用户,取得邮件服务器后台控制权。
二、漏洞影响范围
CNVD对漏洞的综合评级为“高危”。12月6日,exploit-db.com网站披露了攻击代码。根据国家互联网应急中心(CNCERT)和上海交通大学网络信息中心的监测情况,从12月6日下午开始,出现了大量利用该漏洞对境内政府和高校用户发起的攻击。
CNVD对互联网上使用Zimbra的邮件服务器进行了检测。截至12月13日9时,共检测发现互联网上有1814个IP主机为Zimbra邮件服务器。按国家和地区统计,位于前五位的是巴西(252个)、美国(233个)、中国(181个)、法国(148个)和中国香港(105个),详细统计见下表所示。此外,根据抽样测试结果,约有50.0%的Zimbra邮件服务器存在所述高危漏洞。
表 Zimbra主机IP按国家和地区统计
国家和地区 | 数量 | 占比 |
巴西 | 252 | 13.89% |
美国 | 233 | 12.84% |
中国 | 181 | 9.98% |
法国 | 148 | 8.16% |
中国香港 | 105 | 5.79% |
印尼 | 68 | 3.75% |
西班牙 | 58 | 3.20% |
意大利 | 57 | 3.14% |
德国 | 51 | 2.81% |
俄罗斯 | 45 | 2.48% |
印度 | 42 | 2.32% |
南非 | 31 | 1.71% |
英国 | 28 | 1.54% |
智利 | 24 | 1.32% |
土耳其 | 23 | 1.27% |
其他 | 468 | 25.80% |
总计 | 1814 | 100.00% |
三、漏洞处置建议
根据Zimbra生产厂商发布的公告称,该漏洞在2月中下旬即已知晓,并已发布了升级程序和修复补丁:
(一)及时下载升级和补丁程序,升级至7.2.2 Patch 2、7.2.3、8.0.2 Patch 1、8.0.3等版本。对邮件服务器进行安全审计,排查可疑的后台管理员账号;
(二)建议通过防护设备禁止外部无关IP或用户访问邮件服务器7071管理端口。
参考链接:
补丁下载地址: