Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Select language
English Spanish
Cerca

La community italiana di BackBox scopre un Data Leak su Zimbra e attiva la divulgazione responsabile

Redazione RHC : 26 Agosto 2022 10:48

Autore: BackBox Community

Centinaia di milioni di persone utilizzano Zimbra, una suite di produttività aziendale all-in-one per team di lavoro in ufficio e remoti di micro, piccole, medie e imprese.

La società Zimbra Inc è stata acquisita da Synacor Inc il 18 agosto 2015. Con sede a Buffalo, New York, con uffici a Londra, Pune, Singapore e Tokyo. 


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Forniscono software e servizi basati su cloud per i principali fornitori globali di video, contenuti, intrattenimento, Internet e comunicazioni, produttori di dispositivi, governi e aziende.

Introduzione

Nell’agosto di quest’anno (2022), a seguito del consueto monitoraggio di potenziali violazioni e fughe di dati attraverso la nostra piattaforma, ADEngine, la community di BackBox ha identificato un grave incidente di sicurezza relativo a un bucket AWS S3 esposto che appartiene a Zimbra.

Descrizione del problema

Un bucket S3 è in genere considerato “pubblico” se qualsiasi utente può elencare e visualizzare il contenuto del bucket e “privato” se l’accesso al contenuto del bucket è limitato.

Ma un bucket pubblico, a causa di una errata configurazione di accesso era accessibile da chiunque per scaricare qualsiasi contenuto senza alcun tipo di restrizione.

Il bucket S3, per impostazione predefinita, ha un URL prevedibile e pubblicamente accessibile:

E’ inoltre possibile utilizzare il loro dominio di terzo livello, raggiungibile al seguente url:

Zimbra utilizza S3 per archiviare backup del server, documenti aziendali, registri utenti e contenuti pubblicamente visibili come pagine di siti Web, immagini e documenti PDF.

Per testare l’esposizione del bucket, un utente può semplicemente inserire l’URL nel proprio browser web. Un bucket privato o limitato in genere risponde con “Accesso negato”. Un bucket pubblico invece elencherà i primi 1.000 oggetti che sono stati archiviati:

Dopo aver scoperto l’esposizione dell’S3 e del suo contenuto, BackBox ha prontamente contattato Zimbra e avvisato il loro team di sicurezza. 

Dopo aver inviato più di una e-mail, circa una settimana dopo, abbiamo ricevuto una risposta da Zimbra, che ci ringraziava per la segnalazione. Nonostante la loro risposta e interesse, nella loro e-mail hanno cercato di ridurre al minimo il problema.

Seguendo lo snippet della loro risposta e-mail:

“Ci scusiamo per il ritardo nella risposta. Abbiamo dovuto verificare con il team responsabile di questi dati per capire lo scopo di questo bucket. Sono stato informato che si tratta di dati di backup acquisiti per le informazioni pubbliche e quindi non vi è alcun problema con la disponibilità di questi dati al pubblico”.

Sorpresi dalla risposta, abbiamo nuovamente sottolineato la gravità della situazione:

Il rischio per la sicurezza di un bucket pubblico è semplice. 

Un elenco di file e i file stessi, se disponibili per il download, possono rivelare informazioni riservate. Lo scenario peggiore è che un bucket sia stato contrassegnato come “pubblico”, esponga un elenco di file sensibili e su tali file non siano stati applicati controlli di accesso.

Quell’insieme di dati, in particolare contiene una raccolta molto ricca, con molti elementi che a prima vista sembrano privati, o che almeno non dovrebbero essere esposti.

Nel frattempo era chiaro che non avevano il controllo sul contenuto dell’S3, a quanto pare i loro utenti stavano archiviando più dei dati di marketing, abbiamo notato che hanno messo alcune restrizioni e messo in atto un controllo degli accessi (alcuni file non erano più accessibili infatti dopo abbiamo notificato con insistenza). Di seguito è riportato lo snippet dello scambio di e-mail di follow-up e la relativa risposta:

“Ho informato il nostro team di marketing delle tue scoperte e mi è stato confermato che si trattava di backup di informazioni pubbliche. Credo che stiano rimuovendo i dati perché erano dati di backup più vecchi”.

La nostra analisi ha rivelato che il bucket AWS S3 esposto di Zimbra era pubblicamente accessibile da molto tempo.

Negli ultimi mesi, forse anni, è stato possibile scaricare file di diverso tipo senza alcuna restrizione

In particolare ci riferiamo ai dati degli utenti come email, password, configurazioni, archivi, log di sistema e molto altro.

Oggi la situazione sembra essere parzialmente cambiata, alcuni file sono stati ristretti (non tutti) ma il problema persiste. Il team di Zimbra non sembra avere interesse a perseguire una soluzione completa né ammette o comprende la gravità.

Nelle situazioni in cui il bucket è pubblico, ma i file sono bloccati, le informazioni riservate possono comunque essere esposte tramite i nomi dei file stessi, come i nomi dei clienti o la frequenza con cui viene eseguito il backup di una particolare applicazione.

Impatti reali rilevati in campo

Non siamo a conoscenza se questi dati sono stati violati ed esfiltrati in passato. 

È giusto ed è possibile affermare che tali dati sono disponibili sul darkweb o nelle mani di attori malintenzionati che potrebbero utilizzarli per effettuare attacchi non solo contro Zimbra ma anche contro i suoi utenti o terze parti come i fornitori. 

Lo scenario peggiore a cui possiamo pensare è che gli aggressori con queste informazioni e dati potrebbero aver già ottenuto l’accesso diretto ai server Zimbra e l’organizzazione potrebbe non esserne a conoscenza.

Conclusioni

Lo scopo di questa pubblicazione è fare pressione su Zimbra per porre rimedio al problema ancora potenzialmente sfruttabile da malintenzionati ma soprattutto per informare gli utenti di una potenziale e concreta minaccia. Questa è una divulgazione responsabile.

Zimbra dovrebbe a sua volta garantire lealtà e trasparenza ai suoi utenti informandoli direttamente dell’incidente, invece di cercare di sottovalutare deliberatamente l’importanza di ciò che abbiamo segnalato.

Storia della vulnerabilità

  • 14 agosto 2022: Notifica del venditore
  • 19 agosto 2022: il fornitore ha riconosciuto la vulnerabilità
  • 19 agosto 2022: Il fornitore ha parzialmente risolto il problema
  • 20 agosto 2022: notifica di un nuovo fornitore
  • 25 agosto 2022: Articolo pubblicato

Fonte

https://members.backbox.org/zimbra-open-bucket-data-leak-responsible-disclosure/

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Il kernel Linux verso il “vibe coding”? Le regole per l’utilizzo degli assistenti AI sono alle porte
Di Redazione RHC - 26/07/2025

Sasha Levin, sviluppatore di kernel Linux di lunga data, che lavora presso NVIDIA e in precedenza presso Google e Microsoft, ha proposto di aggiungere alla documentazione del kernel regole formali per...

Google trasforma il web in una vetrina per l’AI! Un disastro a breve per l’economia digitale
Di Redazione RHC - 26/07/2025

Google sta trasformando il suo motore di ricerca in una vetrina per l’intelligenza artificiale, e questo potrebbe significare un disastro per l’intera economia digitale. Secondo un nuovo...

Gli Exploit SharePoint sono in corso: aziende e enti nel mirino
Di Sandro Sana - 26/07/2025

Il panorama delle minacce non dorme mai, ma stavolta si è svegliato con il botto. Il 18 luglio 2025, l’azienda di sicurezza Eye Security ha lanciato un allarme che ha subito trovato eco ne...

Operazione Checkmate: colpo grosso delle forze dell’ordine. BlackSuit è stato fermato!
Di Redazione RHC - 25/07/2025

Nel corso di un’operazione internazionale coordinata, denominata “Operation Checkmate”, le forze dell’ordine hanno sferrato un duro colpo al gruppo ransomware BlackSuit (qu...

I Mostri sono stati puniti! GreySkull: 18 condanne e 300 anni di carcere per i pedofili
Di Redazione RHC - 25/07/2025

Il Dipartimento di Giustizia degli Stati Uniti ha segnalato lo smantellamento di quattro piattaforme darknet utilizzate per la distribuzione di materiale pedopornografico. Contemporaneamente, un dicio...

Iscriviti alla nostra newsletter

Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.

 
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006