Zimbra e-posta paketinde, başarıyla kullanılırsa, kimliği doğrulanmamış bir saldırganın herhangi bir kullanıcı etkileşimi olmadan kullanıcıların açık metin parolalarını çalmasına olanak tanıyan, yüksek önem düzeyine sahip yeni bir güvenlik açığı açıklandı.
SonarSource, “Kurbanların posta kutularına erişim sayesinde, saldırganlar potansiyel olarak hedeflenen kuruluşlara erişimlerini artırabilir ve çeşitli dahili hizmetlere erişim kazanabilir ve son derece hassas bilgileri çalabilir.” söz konusu The Hacker News ile paylaşılan bir raporda.
olarak izlendi CVE-2022-27924 (CVSS puanı: 7.5), sorun, bir saldırganın kötü niyetli komutlar enjekte edebileceği ve hassas bilgileri sifonlayabildiği bir senaryoya yol açan “kimliği doğrulanmamış istekle Memcached zehirlenmesi” vakası olarak nitelendirildi.
Zehirlenmesiyle bu mümkün olur. IMAP Zimbra kullanıcılarını aramak ve HTTP isteklerini uygun arka uç hizmetlerine iletmek için kullanılan Memcached sunucusundaki önbellek girişlerini yönlendirin.
https://www.youtube.com/watch?v=GIgHZrPrGug
Memcached’in gelen istekleri satır satır ayrıştırdığı göz önüne alındığında, güvenlik açığı, bir saldırganın aşağıdakileri içeren sunucuya özel hazırlanmış bir arama isteği göndermesine izin verir: CRLF karakterlerisunucunun istenmeyen komutları yürütmesine neden olur.
Araştırmacılar, “yeni satır karakterlerinin (rn) güvenilmeyen kullanıcı girişinde kaçmaması” nedeniyle kusur var. “Bu kod hatası nihayetinde saldırganların hedeflenen Zimbra örneklerinin kullanıcılarından açık metin kimlik bilgilerini çalmasına izin veriyor.”
Bu yetenekle donanmış olan saldırgan, daha sonra bir girişin üzerine yazmak için önbelleği bozabilir, böylece tüm IMAP trafiğini, hedeflenen kullanıcının kimlik bilgileri de dahil olmak üzere, açık metin olarak saldırgan tarafından kontrol edilen bir sunucuya iletir.
Bununla birlikte, saldırı, düşmanın önbellek girişlerini zehirleyebilmek için kurbanların e-posta adreslerine zaten sahip olduğunu ve bir posta sunucusundan e-posta mesajlarını almak için bir IMAP istemcisi kullandığını varsayar.
Araştırmacılar, “Tipik olarak, bir kuruluş üyeleri için e-posta adresleri için örneğin ad. [email protected] gibi bir kalıp kullanır” dedi. “LinkedIn gibi OSINT kaynaklarından bir e-posta adresleri listesi alınabilir.”
Ancak bir tehdit aktörü, adı verilen bir teknikten yararlanarak bu kısıtlamaları aşabilir. cevap kaçakçılığıIMAP trafiğini sahte bir sunucuya iletmek için CRLF enjeksiyon kusurunu kötüye kullanan yetkisiz HTTP yanıtlarının “kaçakçılığını” ve böylece e-posta adreslerini önceden bilmeden kullanıcılardan kimlik bilgilerini çalmayı gerektirir.
Araştırmacılar, “Fikir şu ki, Memcached’in paylaşılan yanıt akışlarına sürekli olarak iş öğelerinden daha fazla yanıt enjekte ederek, rastgele Memcached aramalarını doğru yanıt yerine enjekte edilen yanıtları kullanmaya zorlayabiliriz” dedi. “Bu işe yarıyor çünkü Zimbra, tüketirken Memcached yanıtının anahtarını doğrulamadı.”
11 Mart 2022’deki sorumlu açıklamanın ardından, güvenlik açığını tamamen kapatmak için yamalar yapıldı. sevk edildi 10 Mayıs 2022’de Zimbra tarafından sürümlerde 8.8.15 P31.1 ve 9.0.0 P24.1.
Bulgular, siber güvenlik firması Volexity’nin, Avrupa hükümeti ve medya kuruluşlarını vahşi ortamda hedef almak için e-posta platformunda sıfır gün güvenlik açığını silahlandıran EmailThief adlı bir casusluk kampanyasını ifşa etmesinden aylar sonra geldi.