El popular producto de colaboración Zimbra tiene clientes advertidos aplicar urgentemente un parche de software para cerrar un agujero de seguridad que dice “podría afectar potencialmente la confidencialidad e integridad de sus datos”.
La vulnerabilidad es lo que se conoce como un error XSS, abreviatura de secuencias de comandos entre sitios, mediante el cual realizar una operación de aspecto inocente a través del sitio X, como hacer clic en el sitio Y, le da al operador del sitio X una oportunidad furtiva de implantar un código JavaScript no autorizado en las páginas web que su navegador recibe de Y.
Esto, a su vez, significa que X puede terminar con acceso a su cuenta en el sitio Y, leyendo y tal vez incluso modificando datos que de otro modo serían privados para Y, como los detalles de su cuenta, cookies de inicio de sesión, tokens de autenticación, historial de transacciones. , etcétera.
La abreviatura XSS es un nombre autodescriptivo, porque la picardía consiste esencialmente en empujar secuencias de comandos que no son de confianza de un sitio al contenido que de otro modo sería confiable de otro sitio...
…todo sin necesidad de ingresar al otro sitio de antemano para piratear sus archivos HTML o código JavaScript directamente.
Parchado pero no publicado
Aunque el error ahora se ha parcheado en el código de Zimbra, y la compañía dice que "ha aplicado esta solución a la versión de julio", aún no ha publicado esa versión.
Pero el parche resulta ser lo suficientemente urgente como para necesitarlo de inmediato, porque se detectó en un ciberataque en la vida real por un investigador de seguridad en Google.
Eso lo convierte en un temido exploit de dia cero, el término de la jerga que se usa para los agujeros de seguridad que los chicos malos encuentran primero y se guardan para sí mismos.
Por lo tanto, Zimbra ha advertido a sus clientes que apliquen la solución ellos mismos a mano, lo que requiere una edición de una sola línea en un solo archivo de datos en el directorio de instalación del producto.
Zimbra no usó del todo el propio recordatorio en rima de Naked Security de No tardes/Hazlo hoy, pero los técnicos de la policía dijeron algo con el mismo nivel de urgencia en su propia boletin oficial de seguridad:
Tomar acción. Aplicar corrección manualmente.
Entendemos que es posible que desee tomar medidas más temprano que tarde para proteger sus datos.
Para mantener el más alto nivel de seguridad, solicitamos amablemente su cooperación para aplicar la corrección manualmente en todos los nodos de su buzón.
XSS explicado
En pocas palabras, los ataques XSS generalmente implican engañar a un servidor para que genere una página web. que incluye de forma fiable datos enviados desde fuera, sin comprobar que los datos sean seguros para enviar directamente al navegador del usuario.
Por curioso (o improbable) que parezca al principio, recuerde que repetir o reflejar la entrada en su navegador es perfectamente normal, por ejemplo, cuando un sitio quiere confirmar los datos que acaba de ingresar o informar los resultados de una buscar.
Si estuviera navegando en un sitio de compras, por ejemplo, y quisiera ver si tienen algún Santo Grial a la venta, esperaría escribir Holy Grail
en un cuadro de búsqueda, que podría terminar siendo enviado al sitio en una URL como esta:
https://example.com/search/?product=Holy%20Grail
(Las direcciones URL no pueden contener espacios, por lo que el navegador convierte el carácter de espacio entre las palabras en %20
, donde 20 es el código ASCII para el espacio en hexadecimal).
Y no te sorprendería ver las mismas palabras repetidas en la página que volvió, por ejemplo, así:
Has buscado: Santo Grial Lo siento. No tenemos ninguno en stock.
Ahora imagina que intentaste buscar un producto con un nombre extraño llamado Holy<br>Grail
en cambio, solo para ver qué pasó.
Si obtuviste una página como esta...
Has buscado: Santo Grial Lo siento. No tenemos ninguno en stock.
…en lugar de lo que cabría esperar, es decir…
Has buscado: Santo Grial Lo siento. No tenemos ninguno en stock.
…entonces inmediatamente sabría que el servidor en el otro extremo estaba siendo descuidado con los llamados caracteres “especiales” como <
(signo menor que) y >
(signo mayor que), que se utilizan para especificar comandos HTML, no simplemente datos HTML.
La secuencia HTML <br>
no significa literalmente "mostrar el texto signo menor que letra-b letra-r signo mayor que“, pero en cambio es una etiqueta o comando HTML, que significa “insertar un salto de línea en este punto”.
Un servidor que quiere enviar a su navegador un signo de menos que para imprimir en la pantalla necesita usar la secuencia especial <
en cambio. (Los signos de mayor que, como puede imaginar, están codificados como >
.)
Por supuesto, esto significa que el carácter ampersand (&
) también tiene un significado especial, por lo que los símbolos comerciales que se imprimirán deben codificarse como &
, junto con comillas dobles ("
) y comillas simples o apóstrofes ('
).
En la vida real, el problema con los trucos de salida de secuencias de comandos entre sitios no son los comandos HTML "en su mayoría inofensivos" como <br>
, que interrumpe el diseño de la página, pero etiquetas HTML peligrosas como <script>
, que le permiten incrustar código JavaScript allí mismo, directamente en la propia página web.
Una vez que haya detectado que un sitio no maneja la búsqueda de <br>
correctamente, su próximo intento podría ser buscar algo como Holy<script>alert('Ooops')</script>Grail
preferiblemente.
Si ese término de búsqueda se devuelve exactamente como lo envió en primer lugar, el efecto será ejecutar la función de JavaScript alert()
y para que aparezca un mensaje en su navegador diciendo Ooops
.
Como puedes imaginar, los delincuentes que descubren cómo envenenar sitios web con juicio alert()
las ventanas emergentes cambian rápidamente a usar su agujero XSS recién descubierto para realizar operaciones mucho más tortuosas.
Estos pueden incluir la recuperación o modificación de datos relevantes para su cuenta, el envío de mensajes o la autorización de acciones en su nombre, y tal vez obtener cookies de autenticación que permitirán que los delincuentes vuelvan a iniciar sesión directamente en su cuenta más adelante.
Por cierto, el parche de una línea que se le insta a aplicar en el directorio de productos de Zimbra implica cambiar un elemento en un formulario web integrado de este...
…en un formato más seguro, para que el value
(que se enviará a su navegador como texto pero nunca se mostrará, por lo que ni siquiera sabrá que está allí mientras accede al sitio) se construye de la siguiente manera:
Esta nueva línea le dice al servidor (que está escrito en Java) que aplique la función Java consciente de la seguridad escapeXml()
al valor de la st
campo primero.
Como probablemente has adivinado, escapeXml()
asegura que cualquier sobrante <
, >
, &
, "
y '
los caracteres en una cadena de texto se reescriben en sus formatos correctos y resistentes a XSS, usando <
, >
, &
, "
y '
preferiblemente.
¡Seguridad primero!
¿Qué hacer?
Siga las instrucciones para parchear a mano en el sitio web de Zimbra.
Suponemos que las empresas que ejecutan sus propias instancias de Zimbra (o le pagan a alguien más para que las ejecute en su nombre) no encontrarán el parche técnicamente complejo de realizar y crearán rápidamente un script o programa personalizado para hacerlo por ellos.
Solo no olvides que necesitas repetir el proceso de parcheo, como te recuerda Zimbra, en todos sus nodos de buzón.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Automoción / vehículos eléctricos, Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- Desplazamientos de bloque. Modernización de la propiedad de compensaciones ambientales. Accede Aquí.
- Fuente: https://nakedsecurity.sophos.com/2023/07/14/zimbra-collaboration-suite-warning-patch-this-0-day-right-now-by-hand/
- :posee
- :es
- :no
- :dónde
- $ UP
- 1
- 15%
- 20
- 25
- 700
- 8
- a
- Absoluto
- de la máquina
- el acceso
- Mi Cuenta
- a través de
- la columna Acción
- acciones
- avanzar
- Todos
- permitir
- a lo largo de
- amp
- an
- y
- Otra
- cualquier
- aplicada
- Aplicá
- somos
- AS
- At
- ataques
- Autenticación
- autor
- auto
- lejos
- Atrás
- background-image
- Malo
- BE
- porque
- esto
- favor
- "Ser"
- entre
- frontera
- Fondo
- Box
- Descanso
- cada navegador
- Navegador
- Error
- incorporado
- pero
- by
- , que son
- llegó
- PUEDEN
- Reubicación
- oportunidad
- cambio
- personaje
- personajes
- comprobación
- Cerrar
- código
- colaboración
- Color
- Empresas
- compañía
- integraciones
- confidencialidad
- Confirmar
- que no contengo
- contenido
- convertido
- galletas
- cooperación
- correcta
- Curso
- Protectora
- Para crear
- Los criminales
- curioso
- personalizado
- Clientes
- peligroso
- datos
- detalles
- directamente
- descrubrir
- Pantalla
- do
- No
- don
- No
- efecto
- más
- incrustar
- final
- suficientes
- asegura
- entrado
- esencialmente
- Incluso
- ejemplo
- esperar
- campo
- Archive
- archivos
- Encuentre
- Nombre
- Fijar
- siguiente
- formulario
- formato
- Desde
- función
- la generación de
- da
- adivinado
- corte
- tenido
- mano
- encargarse de
- pasó
- Tienen
- altura
- Oculto
- más alto
- historia
- mantener
- Agujero
- Agujeros
- flotar
- Cómo
- Como Hacer
- HTML
- HTTPS
- if
- imagen
- inmediatamente
- Impacto
- in
- incluir
- incluye
- Las opciones de entrada
- instalación
- ejemplo
- integridad
- dentro
- involucrar
- IT
- SUS
- sí mismo
- jerga
- Java
- JavaScript
- Julio
- solo
- Guardar
- Saber
- conocido
- luego
- Disposición
- izquierda
- dejar
- Nivel
- Vida
- como
- línea
- log
- Inicie sesión
- mantener
- HACE
- a mano
- Margen
- max-ancho
- Puede..
- sentido
- significa
- simplemente
- mensaje
- la vida
- podría
- más,
- mucho más
- nombre
- ¿ Necesita ayuda
- necesidad
- nunca
- Next
- nodos
- normal
- ahora
- of
- on
- ONE
- Inteligente
- Operaciones
- operador
- or
- Otro
- de otra manera
- salir
- salida
- Más de
- EL DESARROLLADOR
- página
- paginas
- Patch
- parcheo
- Paul
- Pagar
- Realizar
- realizar
- quizás
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- tóxico
- Deliciosos
- posición
- Artículos
- la posibilidad
- precisamente
- Imprimir
- privada
- probablemente
- Problema
- Producto
- Programa
- correctamente
- proteger
- publicado
- Emprendedor
- poner
- con rapidez
- más bien
- Reading
- real
- vida real
- recibe
- relativo
- recordarlo
- repetido
- reporte
- solicita
- requiere
- investigador
- Resultados
- Derecho
- Ejecutar
- ambiente seguro
- Safer
- Said
- Venta
- mismo
- decir
- dice
- Pantalla
- guiones
- Buscar
- búsqueda
- EN LINEA
- ver
- envío
- enviando
- expedido
- Secuencia
- Compras
- En Corto
- mostrado
- firmar
- Letreros y Pancartas
- soltero
- página web
- Furtivo
- So
- Software
- sólido
- Alguien
- algo
- Aislamiento de Sonido
- Espacio
- espacios
- especial
- en stock
- Cordón
- Subido
- tal
- suite
- sorprendido
- SVG
- Switch
- ETIQUETA
- ¡Prepárate!
- técnicamente
- decirles
- término
- que
- esa
- La
- su
- Les
- sí mismos
- Ahí.
- por lo tanto
- ellos
- así
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- Tokens
- demasiado
- parte superior
- transaccional
- transición
- transparente
- juicio
- probado
- GIRO
- se convierte
- tipo
- entender
- poco probable
- urgencia
- urgente
- Enlance
- utilizan el
- usado
- usando
- generalmente
- propuesta de
- versión
- muy
- vía
- vulnerabilidad
- quieres
- deseado
- quiere
- advertencia
- fue
- we
- web
- Página web
- sitios web
- tuvieron
- ¿
- cuando
- que
- mientras
- QUIENES
- anchura
- seguirá
- sin
- palabras
- se
- escrito
- X
- XSS
- aún
- Usted
- tú
- zephyrnet