Cara Menangani Bugs Zimbra XXE atau SSRF
Cara Menangani Bugs Zimbra XXE atau SSRF sedang marak dikabarkan semua versi zimbra rentan terinfeksi. Informasi ini didapat dari sebuah website, blog zimbra dan forum. Exploitasi menggunakan script bash dan jsp pada port http / https.
Untuk pencegahan dari website resmi zimbra bagi yang menggunakan zimbra versi 8.8 harus segera upgrade ke 8.8.10 Patch 7 atau 8.8.11 Patch 3. Dan untuk yang menggunakan zimbra versi 8.7.11 harus upgrade ke versi 8.7.11 Patch 10.
Langkah Pengecekkan
1. Buka direktori /tmp, cek apakah ada file l.sh, s.sh dan zmcat menggunakan perintah berikut:
cd /tmp/ ls -lah
2. Bila terdapat file tersebut pada direktori /tmp. Cek proses file tersebut menggunakan perintah berikut
ps faux | grep l\.sh ps faux | grep s\.sh ps faux | grep zmcat
Kill semua proses script tersebut.
Contoh:
[root@mail tmp]# ps faux | grep zmcat root 25248 0.0 0.0 112640 960 pts/5 S+ 23:52 0:00 \_ grep --color=auto zmcat zimbra 20853 98.3 0.0 193152 5480 ? Ssl 23:46 5:33 /tmp/zmcat
PID: 20853
kill proses
kill -9 20853
3. Delete atau pindahkan script tersebut ke directory lain. rekomendasi dipindahkan ke direktori lain
mkdir -p /opt/xxe mv l.sh s.sh zmcat /opt/xxe
rename script tersebut
cd /opt/xxe mv l.sh backupl mv s.sh backups mv zmcat backupzmcat
4. Cek sript jsp, java, class menggunakan perintah berikut
find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls find /opt/zimbra/jetty/ -name "*_jsp.java" -mtime -15 -ls find /opt/zimbra/jetty/ -name "*.class" -mtime -15 -ls
nama script .jsp menggunakan 4 karakter acak mis. mWc6.jsp, shSJ.jsp,zIV2_jsp.java, mWc6_jsp.java, zIV2_jsp.class, mWc6_jsp.class. Pindahkan file-file tersebut ke dalam sebuah direktori baru.
Contoh
[zimbra@mail ~]$ find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls 1578935 4 -rw-r----- 1 zimbra zimbra 1236 Apr 3 04:45 /opt/zimbra/jetty/webapps/zimbra/img/mWc6.jsp 1577796 4 -rw-r----- 1 zimbra zimbra 1236 Apr 3 04:43 /opt/zimbra/jetty/webapps/zimbra/img/zIV2.jsp 1452761 4 -rw-r----- 1 zimbra zimbra 743 Apr 3 04:43 /opt/zimbra/jetty/webapps/zimbra/downloads/SbWk.jsp 1452958 4 -rw-r----- 1 zimbra zimbra 743 Apr 3 04:45 /opt/zimbra/jetty/webapps/zimbra/downloads/shSJ.jsp
5. Hide Zimbra dari mesin pencari seperti google dll menggunakan perintah berikut
su - zimbra zmprov mcf zimbraMailKeepOutWebCrawlers TRUE +zimbraResponseHeader "X-Robots-Tag: noindex" zmmailboxdctl restart
Update:
Setelah sekian hari muncul keanehan pada kinerja prosessor selalu menjadi 100%, setelah di croscek ada file script yang membuat prosessor menjadi 100%
Cek apakah terdapat file script zmswatch dan zmswatch.sh pada direktori /opt/zimbra/log
cd /opt/zimbra/log ls -lah
file tersebut dengan detail sebagai berikut
-rwxr-x--- 1 zimbra zimbra 976K May 17 23:04 zmswatch -rwxr-x--- 1 zimbra zimbra 225 May 17 23:04 zmswatch.sh
Solusi:
1. Matikkan PID zmswatch dengan perintah berikut
[root@mail tmp]# ps faux | grep zmswatch root 25248 0.0 0.0 112640 960 pts/5 S+ 23:52 0:00 \_ grep --color=auto zmswatch zimbra 20857 98.3 0.0 193152 5480 ? Ssl 23:46 5:33 /opt/zimbra/log/zmswatch
PID: 20857
kill proses menggunakan perintah berikut
kill -9 20857
2. Ubah hak akses user pada file tersebut menjadi root dengan perintah berikut
chown root:root /opt/zimbra/log/zmswatch chown root:root /opt/zimbra/log/zmswatch.sh
3. cek crontab user zimbra
su - zimbra crontab -l
Bila hilang bisa menggunakan cara pada url berikut untuk mengembalikan
Selamat mencoba
Bila memungkinkan, lakukkan patch atau upgrade ke zimbra versi terbaru. Bila membutuhkan layanan jasa upgrade zimbra fresh install dapat menghubungi kami melalui whatsApp atau contact
