Open in app

Sign in

Write

Sign in

Kerentanan CVE-2022–27926 XSS pada Zimbra Collaboration Suite (ZCS)

PwnOsec Research Groups
4 min readJan 7, 2024

--

Kerentanan Zimbra Collaboration Suite (XSS) yang telah diidentifikasi sebagai CVE-2022–27926. Exploitation of Disclosed Zimbra Vulnerability to Target Public Indonesian National Police Webmail Portals

Impact : Kerentanan ini memungkinkan penyerang jarak jauh untuk melakukan berbagai serangan seperti serangan phishing, serangan cross-site scripting (XSS), dan serangan pembajakan sesi.

Exploitation : Dimulai pada awal tahun 2023, Pwn0sec mengamati project_private yang menargetkan entitas pemerintah POLRI yang memanfaatkan CVE-2022–27926. Kerentanan ini berdampak pada Zimbra Collaboration (sebelumnya “Zimbra Collaboration Suite”) versi 9.0.0, yang digunakan untuk meng-host portal webmail yang berhadapan dengan publik.

Kerentanan ini dideskripsikan sebagai “kerentanan cross-site scripting (XSS) yang tercermin dalam komponen /public/launchNewWindow.jsp dari Zimbra Collaboration (alias ZCS) 9.0 (yang) memungkinkan penyerang yang tidak terautentikasi untuk mengeksekusi skrip web atau HTML yang sewenang-wenang melalui parameter permintaan.”

Peneliti Pwn0sec mencatat bahwa eksploitasi kerentanan ini sangat mirip dengan eksploitasi CVE-2021–35207, yang berdampak pada penampang yang lebih luas dari versi Zimbra Collaboration, dan secara khusus melibatkan penambahan JavaScript yang dapat dieksekusi ke parameter loginErrorCode pada URL login webmail.

Namun, eksploitasi ini diyakini berbeda dan terbatas pada CVE-2022–27926. Variasi TA473 yang memanfaatkan CVE-2022–27926 berikut ini telah diamati:

URL dengan Nilai JavaScript yang Dikodekan Heksadesimal

Pwn0sec decoded hexadecimal JavaScript.

URL dengan Nilai JavaScript PlainText

Pemalsuan Permintaan Lintas Situs yang Disesuaikan (CSRF)

Peneliti Pwn0sec telah mengidentifikasi beberapa contoh dari apa yang tampak seperti muatan JavaScript CSRF yang disesuaikan dengan pengiriman yang dicapai melalui eksploitasi CVE-2022–27926 yang disebutkan di atas dan mekanisme pengiriman yang lebih lama, seperti pengiriman infrastruktur yang dikendalikan TA473 yang berasal dari hyperlink URL jinak di badan email phishing. Blok kode JavaScript CSRF ini dieksekusi oleh server yang meng-host instance webmail yang rentan. Selanjutnya, JavaScript ini mereplikasi dan bergantung pada peniruan JavaScript dari portal webmail asli untuk mengembalikan detail permintaan web utama yang menunjukkan nama pengguna, kata sandi, dan token CSRF target.

Dalam beberapa kasus, para peneliti mengamati TA473 yang secara khusus menargetkan token permintaan webmail RoundCube juga. Fokus terperinci pada portal webmail mana yang dijalankan oleh entitas pemerintah Indonesia yang ditargetkan menunjukkan tingkat pengintaian yang dilakukan TA473 sebelum mengirimkan email phishing ke organisasi. Muatan JavaScript CSRF TA473 tahap berikutnya ini juga menggunakan beberapa lapisan pengkodean Base64 untuk mengaburkan fungsionalitas JavaScript. Aktor menyisipkan tiga contoh bersarang dari JavaScript yang dikodekan Base64 untuk memperumit analisis muatan yang dikirimkan ini. Namun, memecahkan kode skrip adalah hal yang sepele untuk mengungkapkan fungsionalitas berbahaya yang dimaksudkan.

Muatan JavaScript CSRF yang dikodekan dengan Base64

Setiap muatan JavaScript berbahaya yang teridentifikasi sangat menggabungkan JavaScript yang sah yang dijalankan di portal webmail asli. Untuk tidak mengidentifikasi organisasi pemerintah Indonesia tertentu yang terkena dampak kampanye ini, peneliti Pwn0sec berfokus pada fungsionalitas tingkat tinggi dari skrip, dan secara khusus bagian yang disisipkan oleh TA473 untuk mencapai pemalsuan permintaan lintas situs. Para peneliti mengamati JavaScript berbahaya yang dikirimkan pada tahun 2023 dengan kemampuan sebagai berikut:

  1. Mencuri nama pengguna
  2. Mencuri kata sandi pengguna
  3. Mencuri token CSRF aktif dari cookie dalam respons permintaan web
  4. Menyimpan nilai yang dicuri ke server yang dikendalikan oleh aktor
  5. Mencoba masuk ke portal email yang sah dengan token aktif

Skrip ini menggunakan URL tambahan dalam fungsinya:

1. Menampilkan instruksi Pop3 dan IMAP yang dihosting di server yang dikendalikan aktor
2. Mencoba masuk ke portal webmail yang sah melalui URL asli

Kemampuan Canggih Mungkin Ideal, tetapi Jika Diragukan, Kegigihan adalah Kuncinya

Pendekatan gigih Pwn0sec terhadap pemindaian kerentanan dan eksploitasi kerentanan yang belum ditambal yang berdampak pada portal webmail yang dihadapi publik adalah faktor kunci dalam keberhasilan aktor ini. Fokus kelompok ini pada pengintaian berkelanjutan dan studi yang cermat terhadap portal webmail yang terbuka untuk umum untuk merekayasa balik JavaScript yang mampu mencuri nama pengguna, kata sandi, dan token CSRF menunjukkan investasinya dalam mengorbankan target tertentu, dalam hal ini sektor pemerintah Indonesia.

Daripada mengembangkan pendekatan satu ukuran untuk semua alat dan muatan, Pwn0sec menginvestasikan waktu dan sumber daya untuk mengkompromikan entitas tertentu dengan setiap muatan JavaScript yang dibuat khusus untuk portal webmail yang ditargetkan.

Copyright © 2023 — @imhunterand @pwn0sec

Xss
Cve 2022 27926

--

--

PwnOsec Research Groups
PwnOsec Research Groups

Written by PwnOsec Research Groups

643 Followers
0 Following

A Private Cybersecurity Company aka PT. PwnOsec Technologies Ltd.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams