Se ha revelado una nueva vulnerabilidad de alta gravedad en el paquete de correo electrónico de Zimbra que, si se explota con éxito, permite que un atacante no autenticado robe contraseñas de texto sin cifrar de los usuarios sin ninguna interacción del usuario.
«Con el consiguiente acceso a los buzones de correo de las víctimas, los atacantes pueden escalar potencialmente su acceso a las organizaciones objetivo y obtener acceso a varios servicios internos y robar información altamente confidencial», SonarSource dijo en un informe compartido con The Hacker News.
rastreado como CVE-2022-27924 (puntuación CVSS: 7,5), el problema se ha caracterizado como un caso de «envenenamiento de Memcached con solicitud no autenticada», lo que lleva a un escenario en el que un adversario puede inyectar comandos maliciosos y desviar información confidencial.
Esto es posible envenenando el IMAP enrutar las entradas de caché en el servidor Memcached que se utiliza para buscar usuarios de Zimbra y reenviar sus solicitudes HTTP a los servicios de back-end apropiados.
https://www.youtube.com/watch?v=GIgHZrPrGug
Dado que Memcached analiza las solicitudes entrantes línea por línea, la vulnerabilidad permite que un atacante envíe una solicitud de búsqueda especialmente diseñada al servidor que contiene Caracteres CRLFlo que hace que el servidor ejecute comandos no deseados.
La falla existe porque «los caracteres de nueva línea (rn) no se escapan en la entrada de un usuario que no es de confianza», explicaron los investigadores. «Esta falla en el código finalmente permite a los atacantes robar credenciales de texto claro de los usuarios de las instancias de Zimbra específicas».
Armado con esta capacidad, el atacante puede posteriormente corromper el caché para sobrescribir una entrada de modo que reenvíe todo el tráfico IMAP a un servidor controlado por el atacante, incluidas las credenciales del usuario objetivo en texto no cifrado.
Dicho esto, el ataque presupone que el adversario ya está en posesión de las direcciones de correo electrónico de las víctimas para poder envenenar las entradas del caché y que utilizan un cliente IMAP para recuperar mensajes de correo electrónico de un servidor de correo.
«Por lo general, una organización usa un patrón para las direcciones de correo electrónico de sus miembros, como por ejemplo, firstname. [email protected]», dijeron los investigadores. «Se puede obtener una lista de direcciones de correo electrónico de fuentes OSINT como LinkedIn».
Sin embargo, un actor de amenazas puede eludir estas restricciones explotando una técnica llamada contrabando de respuestaque implica el «contrabando» de respuestas HTTP no autorizadas que abusan de la falla de inyección CRLF para reenviar el tráfico IMAP a un servidor no autorizado, robando así las credenciales de los usuarios sin conocimiento previo de sus direcciones de correo electrónico.
«La idea es que al inyectar continuamente más respuestas que elementos de trabajo en los flujos de respuesta compartidos de Memcached, podemos forzar búsquedas aleatorias de Memcached para usar respuestas inyectadas en lugar de la respuesta correcta», explicaron los investigadores. «Esto funciona porque Zimbra no validó la clave de la respuesta de Memcached al consumirla».
Tras la divulgación responsable el 11 de marzo de 2022, se crearon parches para tapar por completo el agujero de seguridad. Enviado por Zimbra el 10 de mayo de 2022, en versiones 8.8.15 P31.1 y 9.0.0 P24.1.
Los hallazgos llegan meses después de que la firma de seguridad cibernética Volexity revelara una campaña de espionaje denominada EmailThief que utilizó como arma una vulnerabilidad de día cero en la plataforma de correo electrónico para apuntar a entidades gubernamentales y de medios de comunicación europeas en la naturaleza.