Người dùng Horde webmail đang được yêu cầu vô hiệu hóa tính năng chứa lỗ hổng bảo mật chưa được vá 9 năm tuổi trong phần mềm có thể bị lạm dụng để có được quyền truy cập hoàn toàn vào tài khoản email chỉ bằng cách xem trước tệp đính kèm.
“Điều này cho phép kẻ tấn công truy cập vào tất cả thông tin nhạy cảm và có lẽ bí mật mà nạn nhân đã lưu trữ trong tài khoản email của họ và có thể cho phép họ truy cập sâu hơn vào các dịch vụ nội bộ của tổ chức”, nhà nghiên cứu lỗ hổng SonarSource, Simon Scannell, cho biết trong một báo cáo.
Là một “dự án tình nguyện”, Horde Project là một bộ giao tiếp dựa trên trình duyệt miễn phí cho phép người dùng đọc, gửi và sắp xếp các email cũng như quản lý và chia sẻ lịch, danh bạ, nhiệm vụ, ghi chú, tệp và dấu trang.
Lỗ hổng, được giới thiệu như một phần của sự thay đổi mã được thực hiện vào ngày 30 tháng 11 năm 2012, liên quan đến một trường hợp lỗ hổng tập lệnh chéo trang được lưu trữ “bất thường” (hay còn gọi là XSS liên tục) cho phép kẻ thù tạo tài liệu OpenOffice như vậy theo cách mà khi được xem trước, nó sẽ tự động thực thi tải JavaScript tùy ý.
Các cuộc tấn công XSS được lưu trữ phát sinh khi một tập lệnh độc hại được đưa trực tiếp vào máy chủ của ứng dụng web dễ bị tấn công, chẳng hạn như trường nhận xét của trang web, khiến mã không đáng tin cậy được truy xuất và truyền đến trình duyệt của nạn nhân mỗi khi thông tin được lưu trữ được yêu cầu.
“Lỗ hổng bảo mật kích hoạt khi một người dùng được nhắm mục tiêu xem tài liệu OpenOffice đính kèm trong trình duyệt”, Scannell nói. “Kết quả là kẻ tấn công có thể đánh cắp tất cả các email mà nạn nhân đã gửi và nhận.”
Thậm chí tệ hơn, nếu tài khoản quản trị viên có email độc hại được cá nhân hóa bị xâm nhập thành công, kẻ tấn công có thể lạm dụng quyền truy cập đặc quyền này để chiếm toàn bộ máy chủ webmail.
Sự thiếu sót ban đầu được báo cáo cho những người bảo trì dự án vào ngày 26 tháng 8 năm 2021, nhưng cho đến nay vẫn chưa có bản sửa lỗi nào được vận chuyển mặc dù xác nhận từ nhà cung cấp thừa nhận lỗ hổng này. Chúng tôi đã liên hệ với Horde để nhận xét thêm và chúng tôi sẽ cập nhật nếu nhận được phản hồi.
Trong thời gian tạm thời, người dùng Horde Webmail nên vô hiệu hóa hiển thị tệp đính kèm OpenOffice bằng cách chỉnh sửa tệp config / mime_drivers.php để thêm tùy chọn cấu hình ‘vô hiệu hóa' => true vào trình xử lý mime của OpenOffice.
.
