Cara Menangani Bugs Zimbra XXE atau SSRF

Cara Menangani Bugs Zimbra XXE atau SSRF

Cara Menangani Bugs Zimbra XXE atau SSRFCara Menangani Bugs Zimbra XXE atau SSRF sedang marak dikabarkan semua versi zimbra rentan terinfeksi. Informasi ini didapat dari sebuah website, blog zimbra dan forum. Exploitasi menggunakan script bash dan jsp pada port http / https.

Untuk pencegahan dari website resmi zimbra bagi yang menggunakan zimbra versi 8.8 harus segera upgrade ke 8.8.10 Patch 7 atau 8.8.11 Patch 3. Dan untuk yang menggunakan zimbra versi 8.7.11 harus upgrade ke versi 8.7.11 Patch 10.

Langkah Pengecekkan

1. Buka direktori /tmp, cek apakah ada file l.sh, s.sh dan zmcat menggunakan perintah berikut:
cd /tmp/
ls -lah
2. Bila terdapat file tersebut pada direktori /tmp. Cek proses file tersebut menggunakan perintah berikut
ps faux | grep l\.sh
ps faux | grep s\.sh
ps faux | grep zmcat

Kill semua proses script tersebut.
Contoh:

[root@mail tmp]# ps faux | grep zmcat
root     25248  0.0  0.0 112640   960 pts/5    S+   23:52   0:00          \_ grep --color=auto zmcat
zimbra   20853 98.3  0.0 193152  5480 ?        Ssl  23:46   5:33 /tmp/zmcat

PID: 20853
kill proses

kill -9 20853
3. Delete atau pindahkan script tersebut ke directory lain. rekomendasi dipindahkan ke direktori lain
mkdir -p /opt/xxe
mv l.sh s.sh zmcat /opt/xxe

rename script tersebut

cd /opt/xxe
mv l.sh backupl
mv s.sh backups
mv zmcat backupzmcat
4. Cek sript jsp, java, class menggunakan perintah berikut
find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls
find /opt/zimbra/jetty/ -name "*_jsp.java" -mtime -15 -ls
find /opt/zimbra/jetty/ -name "*.class" -mtime -15 -ls 

nama script .jsp menggunakan 4 karakter acak mis. mWc6.jsp, shSJ.jsp,zIV2_jsp.java, mWc6_jsp.java, zIV2_jsp.class, mWc6_jsp.class. Pindahkan file-file tersebut ke dalam sebuah direktori baru.
Contoh

[zimbra@mail ~]$ find /opt/zimbra/jetty/ -name "*.jsp" -mtime -15 -ls
1578935    4 -rw-r-----   1 zimbra   zimbra       1236 Apr  3 04:45 /opt/zimbra/jetty/webapps/zimbra/img/mWc6.jsp
1577796    4 -rw-r-----   1 zimbra   zimbra       1236 Apr  3 04:43 /opt/zimbra/jetty/webapps/zimbra/img/zIV2.jsp
1452761    4 -rw-r-----   1 zimbra   zimbra        743 Apr  3 04:43 /opt/zimbra/jetty/webapps/zimbra/downloads/SbWk.jsp
1452958    4 -rw-r-----   1 zimbra   zimbra        743 Apr  3 04:45 /opt/zimbra/jetty/webapps/zimbra/downloads/shSJ.jsp
5. Hide Zimbra dari mesin pencari seperti google dll menggunakan perintah berikut
su - zimbra
zmprov mcf zimbraMailKeepOutWebCrawlers TRUE +zimbraResponseHeader "X-Robots-Tag: noindex"
zmmailboxdctl restart

Update:

Setelah sekian hari muncul keanehan pada kinerja prosessor selalu menjadi 100%, setelah di croscek ada file script yang membuat prosessor menjadi 100%
Cek apakah terdapat file script zmswatch dan zmswatch.sh pada direktori /opt/zimbra/log

cd /opt/zimbra/log
ls -lah

file tersebut dengan detail sebagai berikut

-rwxr-x---  1 zimbra   zimbra   976K May 17 23:04 zmswatch
-rwxr-x---  1 zimbra   zimbra    225 May 17 23:04 zmswatch.sh

Solusi:

1. Matikkan PID zmswatch dengan perintah berikut

[root@mail tmp]# ps faux | grep zmswatch
root     25248  0.0  0.0 112640   960 pts/5    S+   23:52   0:00          \_ grep --color=auto zmswatch
zimbra   20857 98.3  0.0 193152  5480 ?        Ssl  23:46   5:33 /opt/zimbra/log/zmswatch

PID: 20857
kill proses menggunakan perintah berikut

kill -9 20857

2. Ubah hak akses user pada file tersebut menjadi root dengan perintah berikut

chown root:root /opt/zimbra/log/zmswatch
chown root:root /opt/zimbra/log/zmswatch.sh

3. cek crontab user zimbra

su - zimbra
crontab -l

Bila hilang bisa menggunakan cara pada url berikut untuk mengembalikan

Langkah Membuat Kembali File Crontab User Zimbra

Selamat mencoba

Bila memungkinkan, lakukkan patch atau upgrade ke zimbra versi terbaru. Bila membutuhkan layanan jasa upgrade zimbra fresh install dapat menghubungi kami melalui whatsApp atau contact

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

×

Hello!

Klik salah satu dibawah untuk chat WhatsApp atau kirim email kepada kami ke info@saad.web.id

× WhatsApp Kami