一、小白剧场

大东：小白，听说你已经开始实习了，实习公司的环境怎么样啊？

小白：环境什么的都还好，最主要的还是周围有一群业界大佬，感觉每天都能学到不少技术呢！

（图片来自网络）

大东：不错啊，小白，看来你每天都过得很充实啊！最近都学到了哪些技术啊，和我分享分享？

小白：最近刚刚掌握我们公司使用的一款开源办公软件，里面内容可丰富了，我们日常办公有了这一款软件基本上就够了！

大东：哦，真的吗？说来听听，是什么软件？

小白：是Zimbra。

Zimbra商标（图片来自网络）

大东：Zimbra确实是一款不错的协同办公产品，但我不是故意打击你，小白，最近Zimbra曝出了致命漏洞，存在被攻击的风险！

小白：东哥，你不是在开玩笑吧，到底曝出了怎样的漏洞呢，快讲讲吧！

二、话说事件

大东：先别急小白，在给你正式讲解之前，我们先来一起重温下Zimbra这款软件的功能特性，来分析一下它曝出的漏洞为什么这么危险。

小白：好的，东哥快讲吧！

大东：Zimbra是一套开源协同办公套件，包括WebMail、日历、通信录、Web文档管理和创作等功能。

小白：嗯嗯，它的功能真的很丰富。

大东：然而它最具特色的还是通过将终端用户的信息和活动连接到私有云中，为用户提供最具创新性的消息接收体验，然而也正是这一特性使用户数据面临泄露危险。

小白：正所谓能力越大，责任越大，Zimbra把用户数据上传到私有云，理应保障私有云的安全啊，怎么会出问题呢？

大东：说得没错，正因为这一服务特性，它吸引了大批企业机构引入并应用到了日常工作当中。而且据不完全统计，每天有超过20万家企业和1000多家政府、金融机构使用Zimbra与数百万用户交换电子邮件。

电子邮件商务交流（图片来自网络）

小白：这些商务邮件一旦泄露，可不是一件小事啊，快讲讲Zimbra的漏洞到底是怎么一回事吧，东哥！

大东：由于Zimbra是一个开源平台，SonarSource的专家便在2021年7月份经过分析，披露了开源代码中的两个漏洞。

小白：是怎样的两个漏洞呢？

大东：一个是CVE-2021-35208，属于跨站脚本错误（XSS）漏洞，另一个是CVE-2021-35209，属于服务器端请求伪造漏洞（SSRF）。

小白：这些漏洞会对Zimbra造成什么影响呢？

大东：可不要小看这两个漏洞，它可能会使未经身份验证的攻击者破坏目标企业的Zimbra网络邮件服务器。

小白：一旦攻破是不是企业邮件就会暴露在网络中了？

大东：没错，攻击者就可以不受限制地访问所有员工通过Zimbra传输的电子邮件内容。

小白：那Zimbra该怎么修补漏洞呢，得赶快采取措施啊，这要是被攻击，这

么多企业机构可会受到难以估计的经济损失啊！

大东：小白，稍安毋躁，想要修补漏洞，我们还要分析他的攻击原因和攻击形

式，从根源入手。

小白：是我操之过急了，快讲讲安全人员是怎么分析这两个漏洞的吧，东哥！

三、大话始末

大东：安全专家经过分析表示，当用户浏览查看Zimbra传入的电子邮件时，

就会触发跨站点脚本（CVE-2021-35208）漏洞。

小白：会触发怎样的脚本漏洞呢？

大东：恶意电子邮件会包含一个精心设计的JavaScript有效负载，当该负载被执行时，攻击者将能够访问受害者所有的电子邮件，同时攻击者能获取受害者在Zimbra组件中其他功能的访问权限，以发起进一步的攻击。

小白：原来是这样，那另一个漏洞会被怎样利用来执行攻击呢？

大东：另一个服务器端请求伪造漏洞（CVE-2021-35209），绕过了访问控制的允许列表，导致强大的服务器端请求伪造。

小白：服务器的请求被伪造，这手段可太恐怖了，那它会被哪种攻击者利用呢，东哥？

大东：研究人员指出，该漏洞可以被任何权限角色的经过身份验证的组织成员

利用。

小白：嗯嗯，现在我们都清楚这两个漏洞可能被利用攻击的形式了，那我们要

怎么展开防御呢？

大东：先别急，我们先总结下这两个漏洞被攻击者利用后展开攻击的形式特性。

小白：好的！

大东：上述两种漏洞被攻击者利用后展开的攻击形式说明了一个这样的事实：

即基于Ajax、静态HTML和移动优化的Zimbra网页客户端，破坏者会以一种

注入恶意JavaScript代码的方式，执行清除服务器端接收邮件中的HTML内容。

小白：嗯嗯，这下攻击者的主要攻击途径也明确了，该说说我们的缓解措施了

吧，东哥？

大东：相关的安全专家指出，Zimbra可以通过禁止HTTP请求处理程序执行重

定向的方式来减轻SSRF攻击。

小白：他们是怎么说的呢？

大东：他们建议验证Location响应报头的值，并且要在它被验证之后再创建

新的请求。这样可以保护开放的重定向漏洞。

小白：那另一个漏洞导致的XSS攻击呢？

大东：当然不能忘了另一个漏洞攻击形式，XSS攻击也可以通过完全删除转换

表单标签的代码的方式来修复。

小白：嗯嗯，这下有了解决方案，那Zimbra有没有发布任何官方声明，给出

补丁包之类的呢？

大东：当然，在漏洞被披露不久，Zimbra团队便修复了其8.8.15系列的Patch

18和9.0系列的Patch 16的所有问题。

小白：太好了，这样加上了补丁，Zimbra就可以继续使用了，我得赶快去通知公司的技术人员，让他们加上补丁！

四、小白内心说

大东：虽说Zimbra或已经修复了这两个致命漏洞，但我们还必须好好分析下这其中的SSRF漏洞，因为它似乎变得越来越危险了！

小白：为什么这么说呢，东哥？

大东：SSRF漏洞对本地应用来说已经成为一个越来越危险的威胁类别。它之所以强大一是因为它可以在传出请求中设置任意标头，其次是可以读取相应的内容。

小白：嗯嗯，这一点在之前分析它可能的漏洞利用攻击形式已经提到了，东哥。那对于Zimbra来说有哪些更直接的威胁呢？

大东：如果将Zimbra实例托管在云供应商处，使其可以从托管服务器的VM访问元数据API，这样就可能泄漏高敏感信息。

小白：嗯嗯，的确，Zimbra确实应该好好排查一下这个漏洞了！

大东：不止是Zimbra，如今虚拟协同办公如火如荼，国内的开源协同办公软件也愈加成熟，一旦协同办公涉及到云本地应用，便一定要排查类似SSRF漏洞！

小白：嗯嗯，东哥说得很对！那通过这件事，我们还能总结出哪些技术经验呢？

大东：通过Zimbra漏洞的披露，我们还能够分析出如今软件供应链安全的薄弱性。

小白：从哪里看出来的呢，东哥？

大东：因为软件供应链安全的提升需要从两个维度出发，Zimbra曝出漏洞是根源维度出现问题，但另一个客户维度我们也要着重考虑。

小白：详细讲讲吧！

大东：其一，对于软件供应商来说，也就是根源维度，通过注重软件开发相关流程的安全性来增强软件安全性变得愈加重要；其二，对于软件使用者，也就是客户维度，企业应当注重培养自身员工以及客户的安全意识。

小白：我们只要不断提高软件的安全性不就好了，对客户为什么要提高要求呢？

大东：小白，你这就把问题看得太窄了！软件产品的稳定性和安全性不是坚不可摧的，即便是用户，在使用过程中对于一些“可疑”的使用情况也要提高警惕性。这样从攻击入口便严加防范，对自身和产品供应商来说都能避免很多没必要的损失。

小白：东哥教导的是，我意识到了！

大东：另一方面，我们也要效仿Zimbra对漏洞的处理方式，他们在漏洞曝出后便虚心考证，及时做出了修补。可见他们平时便广泛关注各大漏洞分享论坛，能够及时获取最新的漏洞资讯，这种系统运维方式为我国网络安全领域各方面的发展提供了重要的参考价值和借鉴意义。

小白：没错，这种高效的运维方式的确是值得我们学习的！那东哥，你刚才说了从客户维度也要提高安全防范意识，那平时我们在企业中使用邮件进行业务交流时应注意到哪些情景呢？

大东：首先，我们在使用电子邮件时要避免在邮件正文使用链接，因为这可能会成为钓鱼入口，当然我们也不能随意别人发送电子邮件的正文链接；其次，不要在正文涉及到任何涉密的信息，如有涉密内容应当用附件加密之后进行传输。

小白：嗯嗯，学到，东哥，我平时在公司使用电子邮件时会注意的！

参考资料：

1. 百度百科-Zimbra

2. Zimbra新漏洞或造成20万家企业数据泄漏

3. 记一次漏洞利用：zimbra漏洞利用

4. 知道创宇-洞悉漏洞Zimbra 远程代码执行漏洞

5. 企业管理电子邮件与网络安全问题的探讨

来源：中国科学院信息工程研究所