ЦАРКА выявила уязвимость портала электронной почты Mail.kz
Сегодня, в рамках функционирования национальной площадки BugBounty.kz, исследователями была выявлена критическая XSS уязвимость на национальном портале электронного сервиса "Mail.kz". Она приводит к полной компрометации почты пользователей почтового сервиса и возможности захвата аккаунта сервисов, которые используют данную почту для авторизации.
ЦАРКА отмечает, что одним из способов эксплуатации уязвимости является компрометация всех почтовых сообщений, к тому же он дает возможность отправлять сообщения от имени жертвы-пользователя.
Уязвимость в особенности критична, учитывая, что данным почтовым сервисом пользуются не только казахстанцы, но и государственные органы, как МВД, Минздрав, Минобразования, Минсельхоз, ряд областных, городских, районных больниц, клиник и поликлиник по всему Казахстану, а также районные акиматы по всему Казахстану.
Используя эту уязвимость, злоумышленник может перехватить конфиденциальные рабочие переписки жертвы, содержащие критическую информацию. Под критичными данными подразумевается письма содержащие материалы по расследованиям, содержащим персональные медицинские данные, финансовая документация организаций, инсайдерская информация касательно потенциальных сделок, которые нанесут существенный финансовый и репутационный урон жертве.
Отмечается, что информация о критической уязвимости известна владельцам платформы минимум с ноября 2021 года, но при этом, обратная связь не была получена, и данная уязвимость не устранена по сей день, поэтому угроза сохранности данных до сих пор остается актуальной.
Причиной наличия уязвимости является использование уязвимой версии клиента Zimbra и способ реализации отправки сообщений. Перехватив запрос на отправку сообщения, в теле можно заметить передачу HTML-кода через параметр "_content", замена которого приведет к исполнению JavaScript кода на стороне получателя.
ЦАРКА предупреждает, что использование платформы Mail.kz на сегодняшний день влечет критические риски для текущих ее пользователей.