Người dùng của Horde Webmail đang được khuyến khích vô hiệu hóa một tính năng chứa lỗ hổng bảo mật 9 năm tuổi chưa được vá trong phần mềm có thể bị lạm dụng để có quyền truy cập hoàn toàn vào tài khoản email chỉ bằng cách xem trước tệp đính kèm.
“Điều này cho phép kẻ tấn công truy cập vào tất cả thông tin nhạy cảm và có lẽ là bí mật mà nạn nhân đã lưu trữ trong tài khoản email của họ và có thể cho phép họ có thêm quyền truy cập vào các dịch vụ nội bộ của một tổ chức”, nhà nghiên cứu lỗ hổng SonarSource, Simon Scannell, cho biết trong một báo cáo.
Là một sáng kiến ”tất cả tình nguyện”, Dự án Horde là bộ giao tiếp dựa trên trình duyệt, miễn phí cho phép người dùng đọc, gửi và sắp xếp email cũng như quản lý và chia sẻ lịch, danh bạ, tác vụ, ghi chú, tệp và dấu trang.
Lỗ hổng, được giới thiệu như một phần của thay đổi mã được đẩy vào ngày 30 tháng 11 năm 2012, liên quan đến trường hợp lỗ hổng tập lệnh chéo trang được lưu trữ “bất thường” (còn gọi là XSS liên tục) cho phép kẻ thù tạo tài liệu OpenOffice ở dạng như vậy. theo cách mà khi được xem trước, nó sẽ tự động thực thi tải trọng JavaScript tùy ý.
Các cuộc tấn công XSS được lưu trữ phát sinh khi một tập lệnh độc hại được đưa trực tiếp vào máy chủ của ứng dụng web dễ bị tổn thương, chẳng hạn như trường nhận xét của trang web, khiến mã không đáng tin cậy được truy xuất và truyền tới trình duyệt của nạn nhân mỗi khi thông tin được lưu trữ được yêu cầu.
“Lỗ hổng kích hoạt khi người dùng mục tiêu xem tài liệu OpenOffice đính kèm trong trình duyệt,” Scannell nói. “Kết quả là kẻ tấn công có thể đánh cắp tất cả các email mà nạn nhân đã gửi và nhận.”
Tệ hơn nữa, nếu tài khoản quản trị viên có email độc hại, được cá nhân hóa bị xâm phạm thành công, kẻ tấn công có thể lạm dụng quyền truy cập đặc quyền này để chiếm toàn bộ máy chủ webmail.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Lỗ hổng ban đầu được báo cáo cho những người bảo trì dự án vào ngày 26 tháng 8 năm 2021, nhưng cho đến nay vẫn chưa có bản sửa lỗi nào được đưa ra mặc dù đã có xác nhận từ nhà cung cấp thừa nhận lỗ hổng. Chúng tôi đã liên hệ với Horde để nhận thêm bình luận và chúng tôi sẽ cập nhật nếu nhận được phản hồi.
Trong thời gian tạm thời, người dùng Horde Webmail nên tắt hiển thị các tệp đính kèm OpenOffice bằng cách chỉnh sửa tệp config/mime_drivers.php để thêm tùy chọn cấu hình ‘tắt’ => đúng vào trình xử lý mime của OpenOffice.
