Redazione RHC : 26 Agosto 2022 10:48
Autore: BackBox Community
Centinaia di milioni di persone utilizzano Zimbra, una suite di produttività aziendale all-in-one per team di lavoro in ufficio e remoti di micro, piccole, medie e imprese.
La società Zimbra Inc è stata acquisita da Synacor Inc il 18 agosto 2015. Con sede a Buffalo, New York, con uffici a Londra, Pune, Singapore e Tokyo.
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Forniscono software e servizi basati su cloud per i principali fornitori globali di video, contenuti, intrattenimento, Internet e comunicazioni, produttori di dispositivi, governi e aziende.
Nell’agosto di quest’anno (2022), a seguito del consueto monitoraggio di potenziali violazioni e fughe di dati attraverso la nostra piattaforma, ADEngine, la community di BackBox ha identificato un grave incidente di sicurezza relativo a un bucket AWS S3 esposto che appartiene a Zimbra.
Un bucket S3 è in genere considerato “pubblico” se qualsiasi utente può elencare e visualizzare il contenuto del bucket e “privato” se l’accesso al contenuto del bucket è limitato.
Ma un bucket pubblico, a causa di una errata configurazione di accesso era accessibile da chiunque per scaricare qualsiasi contenuto senza alcun tipo di restrizione.
Il bucket S3, per impostazione predefinita, ha un URL prevedibile e pubblicamente accessibile:
E’ inoltre possibile utilizzare il loro dominio di terzo livello, raggiungibile al seguente url:
Zimbra utilizza S3 per archiviare backup del server, documenti aziendali, registri utenti e contenuti pubblicamente visibili come pagine di siti Web, immagini e documenti PDF.
Per testare l’esposizione del bucket, un utente può semplicemente inserire l’URL nel proprio browser web. Un bucket privato o limitato in genere risponde con “Accesso negato”. Un bucket pubblico invece elencherà i primi 1.000 oggetti che sono stati archiviati:
Dopo aver scoperto l’esposizione dell’S3 e del suo contenuto, BackBox ha prontamente contattato Zimbra e avvisato il loro team di sicurezza.
Dopo aver inviato più di una e-mail, circa una settimana dopo, abbiamo ricevuto una risposta da Zimbra, che ci ringraziava per la segnalazione. Nonostante la loro risposta e interesse, nella loro e-mail hanno cercato di ridurre al minimo il problema.
Seguendo lo snippet della loro risposta e-mail:
“Ci scusiamo per il ritardo nella risposta. Abbiamo dovuto verificare con il team responsabile di questi dati per capire lo scopo di questo bucket. Sono stato informato che si tratta di dati di backup acquisiti per le informazioni pubbliche e quindi non vi è alcun problema con la disponibilità di questi dati al pubblico”.
Sorpresi dalla risposta, abbiamo nuovamente sottolineato la gravità della situazione:
Il rischio per la sicurezza di un bucket pubblico è semplice.
Un elenco di file e i file stessi, se disponibili per il download, possono rivelare informazioni riservate. Lo scenario peggiore è che un bucket sia stato contrassegnato come “pubblico”, esponga un elenco di file sensibili e su tali file non siano stati applicati controlli di accesso.
Quell’insieme di dati, in particolare contiene una raccolta molto ricca, con molti elementi che a prima vista sembrano privati, o che almeno non dovrebbero essere esposti.
Nel frattempo era chiaro che non avevano il controllo sul contenuto dell’S3, a quanto pare i loro utenti stavano archiviando più dei dati di marketing, abbiamo notato che hanno messo alcune restrizioni e messo in atto un controllo degli accessi (alcuni file non erano più accessibili infatti dopo abbiamo notificato con insistenza). Di seguito è riportato lo snippet dello scambio di e-mail di follow-up e la relativa risposta:
“Ho informato il nostro team di marketing delle tue scoperte e mi è stato confermato che si trattava di backup di informazioni pubbliche. Credo che stiano rimuovendo i dati perché erano dati di backup più vecchi”.
La nostra analisi ha rivelato che il bucket AWS S3 esposto di Zimbra era pubblicamente accessibile da molto tempo.
Negli ultimi mesi, forse anni, è stato possibile scaricare file di diverso tipo senza alcuna restrizione.
In particolare ci riferiamo ai dati degli utenti come email, password, configurazioni, archivi, log di sistema e molto altro.
Oggi la situazione sembra essere parzialmente cambiata, alcuni file sono stati ristretti (non tutti) ma il problema persiste. Il team di Zimbra non sembra avere interesse a perseguire una soluzione completa né ammette o comprende la gravità.
Nelle situazioni in cui il bucket è pubblico, ma i file sono bloccati, le informazioni riservate possono comunque essere esposte tramite i nomi dei file stessi, come i nomi dei clienti o la frequenza con cui viene eseguito il backup di una particolare applicazione.
Non siamo a conoscenza se questi dati sono stati violati ed esfiltrati in passato.
È giusto ed è possibile affermare che tali dati sono disponibili sul darkweb o nelle mani di attori malintenzionati che potrebbero utilizzarli per effettuare attacchi non solo contro Zimbra ma anche contro i suoi utenti o terze parti come i fornitori.
Lo scenario peggiore a cui possiamo pensare è che gli aggressori con queste informazioni e dati potrebbero aver già ottenuto l’accesso diretto ai server Zimbra e l’organizzazione potrebbe non esserne a conoscenza.
Lo scopo di questa pubblicazione è fare pressione su Zimbra per porre rimedio al problema ancora potenzialmente sfruttabile da malintenzionati ma soprattutto per informare gli utenti di una potenziale e concreta minaccia. Questa è una divulgazione responsabile.
Zimbra dovrebbe a sua volta garantire lealtà e trasparenza ai suoi utenti informandoli direttamente dell’incidente, invece di cercare di sottovalutare deliberatamente l’importanza di ciò che abbiamo segnalato.
Fonte
https://members.backbox.org/zimbra-open-bucket-data-leak-responsible-disclosure/
RedazioneIn un mondo in cui la musica è da tempo migrata verso lo streaming e le piattaforme digitali, un appassionato ha deciso di tornare indietro di sei decenni, a un’epoca in cui le melodie potevano anc...
La frase “Costruiremo sicuramente un bunker prima di lanciare l’AGI” dal quale prende spunto l’articolo, è stata attribuita a uno dei leader della Silicon Valley, anche se non è chiaro a chi...
Negli Stati Uniti, una vasta campagna coordinata tramite botnet sta prendendo di mira i servizi basati sul protocollo Remote Desktop Protocol (RDP). Un pericolo notevole è rappresentato dalla scala e...
Un’ondata di messaggi di phishing sta colpendo in questi giorni numerosi cittadini lombardi. Le email, apparentemente inviate da una società di recupero crediti, fanno riferimento a presunti mancat...
La scorsa settimana, Oracle ha avvisato i clienti di una vulnerabilità zero-day critica nella sua E-Business Suite (CVE-2025-61882), che consente l’esecuzione remota di codice arbitrario senza aute...
