# CVE-2020-7796 - Zimbra Collaboration Suite SSRF via zimlet WebEx > [!high] CVSS 9.8 - CISA KEV > SSRF crítico no Zimbra Collaboration Suite permite que atacantes não autenticados realizem requisições arbitrárias a serviços internos quando o zimlet WebEx está ativo e JSP está habilitado. ## Visão Geral **CVE-2020-7796** é uma vulnerabilidade de **Server-Side Request Forgery (SSRF)** no [[zimbra-collaboration-suite|Zimbra Collaboration Suite]] (ZCS) da Synacor, afetando versões anteriores à 8.8.15 Patch 7. A falha está presente no componente de integração **zimlet WebEx** e é acionada quando o suporte a JavaServer Pages (JSP) está habilitado no servidor. Um atacante remoto não autenticado pode forçar o servidor Zimbra a realizar requisições HTTP para destinos arbitrários — incluindo serviços internos normalmente inacessíveis da internet. O impacto de um SSRF em servidores de e-mail corporativos é particularmente grave: o servidor Zimbra frequentemente tem acesso privilegiado a redes internas, serviços de autenticação (LDAP, Active Directory), APIs internas e infraestrutura de backend. A exploração pode ser usada como ponto de pivô para movimentação lateral, varredura de portas internas, exfiltração de dados de APIs internas ou encadeamento com outras vulnerabilidades para obter execução de código remoto. A inclusão no catálogo **CISA Known Exploited Vulnerabilities (KEV)** em novembro de 2021 confirma exploração ativa em ambientes reais. O Zimbra é amplamente utilizado por governos, universidades, operadoras de telecomúnicações e empresas de médio porte em todo o mundo — com presença significativa na América Latina, tornando este CVE relevante para o contexto regional. ## Produtos Afetados | Produto | Versões Afetadas | Versão Corrigida | |---------|-----------------|-----------------| | Zimbra Collaboration Suite | < 8.8.15 Patch 7 | 8.8.15 Patch 7+ | | Zimbra Collaboration Suite | < 8.7.x com zimlet WebEx ativo | Atualizar para 8.8.15+ | **Pré-requisitos para exploração:** - Zimlet WebEx instalado e ativo - JSP (JavaServer Pages) habilitado no servidor ## Detalhes Técnicos A vulnerabilidade reside no zimlet de integração com WebEx disponível no Zimbra Collaboration Suite. Quando o zimlet está ativo e JSP está habilitado, um endpoint exposto não válida adequadamente as URLs fornecidas nas requisições, permitindo que o atacante especifique destinos arbitrários: 1. **Vetor de ataque:** Requisição HTTP maliciosa para o endpoint do zimlet WebEx 2. **Bypass de controles de rede:** O servidor Zimbra age como proxy, contornando firewalls e controles de acesso 3. **Acesso a serviços internos:** Serviços LDAP, APIs internas, metadados de cloud (169.254.169.254) e redes privadas tornam-se alcançáveis 4. **Sem autenticação:** A exploração não exige credenciais válidas ``` GET /service/zimlet/com_zimbra_webex/... HTTP/1.1 Host: servidor-zimbra.alvo.com [parâmetro de URL manipulado para apontar para recurso interno] ``` ## Attack Flow ```mermaid graph TB A["🎯 Reconhecimento<br/>Identifica Zimbra exposto<br/>com zimlet WebEx ativo"] --> B["📡 Sondagem<br/>Verifica versão e JSP<br/>habilitado"] B --> C["💥 Exploração SSRF<br/>Requisição maliciosa ao<br/>endpoint do zimlet WebEx"] C --> D["🌐 Pivô Interno<br/>Acesso a LDAP, APIs,<br/>metadados de cloud"] D --> E["📊 Exfiltração<br/>Dados de serviços internos<br/>via respostas SSRF"] D --> F["🔗 Encadeamento<br/>SSRF como vetor para<br/>vulnerabilidades adicionais"] ``` ## Contexto LATAM > [!latam] Zimbra e SSRF na América Latina > O Zimbra Collaboration Suite tem forte penetração em organizações públicas e privadas da América Latina, especialmente em universidades públicas, órgãos governamentais, operadoras de telecomúnicações e prefeituras. Países como **Brasil, Argentina, México e Colômbia** apresentam número significativo de instalações públicas do Zimbra, tornando o CVE-2020-7796 relevante para o panorama de ameaças regional. > > SSRFs em servidores de e-mail são vetores frequentemente subestimados por equipes de segurança da região, que priorizam patches de execução de código mas postergam vulnerabilidades classificadas como "apenas" SSRF — mesmo quando CVSS é 9.8. O padrão de exploração ativa confirmado pela CISA indica que atores de ameaça não cometem esse mesmo equívoco. ## Mitigação **Patch oficial:** - Atualizar o Zimbra Collaboration Suite para versão **8.8.15 Patch 7** ou superior - Release notes: [Zimbra Security Advisories](https://wiki.zimbra.com/wiki/Zimbra_Releases) **Ações recomendadas:** 1. Aplicar patch imediatamente — CISA KEV implica obrigatoriedade para agências federais dos EUA e boas práticas globais 2. **Desabilitar o zimlet WebEx** caso não seja utilizado: remover via console de administração 3. **Desabilitar JSP** se não for necessário para o ambiente 4. Aplicar regras de WAF para inspecionar e bloquear padrões de SSRF no endpoint do zimlet 5. Monitorar logs do Zimbra por requisições anômalas ao endpoint `/service/zimlet/com_zimbra_webex/` 6. Revisar regras de firewall para garantir que o servidor Zimbra não tenha acesso desnecessário a redes internas ## Notas Relacionadas **CVEs relacionados:** [[cve-2022-27925|CVE-2022-27925]] · [[cve-2022-37042|CVE-2022-37042]] · [[cve-2022-30333|CVE-2022-30333]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] **Setores em risco:** [[government|governo]] · [[telecommunications|telecomúnicações]] · [[education|educação]] **Defesas:** [[m1021-restrict-web-based-content|M1021 - Restrict Web-Based Content]] · [[m1016-vulnerability-scanning|M1016 - Vulnerability Scanning]] ## Referências - [NVD - CVE-2020-7796](https://nvd.nist.gov/vuln/detail/CVE-2020-7796) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Zimbra Security Advisories](https://wiki.zimbra.com/wiki/Zimbra_Releases)