{"id":206345,"date":"2022-06-14T15:37:57","date_gmt":"2022-06-14T15:37:57","guid":{"rendered":"https:\/\/teknomers.com\/es\/la-nueva-vulnerabilidad-de-correo-electronico-de-zimbra-podria-permitir-que-los-atacantes-roben-sus-credenciales-de-inicio-de-sesion\/"},"modified":"2022-06-14T15:37:58","modified_gmt":"2022-06-14T15:37:58","slug":"la-nueva-vulnerabilidad-de-correo-electronico-de-zimbra-podria-permitir-que-los-atacantes-roben-sus-credenciales-de-inicio-de-sesion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/la-nueva-vulnerabilidad-de-correo-electronico-de-zimbra-podria-permitir-que-los-atacantes-roben-sus-credenciales-de-inicio-de-sesion\/","title":{"rendered":"La nueva vulnerabilidad de correo electr\u00f3nico de Zimbra podr\u00eda permitir que los atacantes roben sus credenciales de inicio de sesi\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n
<\/div>\n

Se ha revelado una nueva vulnerabilidad de alta gravedad en el paquete de correo electr\u00f3nico de Zimbra que, si se explota con \u00e9xito, permite que un atacante no autenticado robe contrase\u00f1as de texto sin cifrar de los usuarios sin ninguna interacci\u00f3n del usuario.<\/p>\n

“Con el consiguiente acceso a los buzones de correo de las v\u00edctimas, los atacantes pueden escalar potencialmente su acceso a las organizaciones objetivo y obtener acceso a varios servicios internos y robar informaci\u00f3n altamente confidencial”, SonarSource dijo<\/a> en un informe compartido con The Hacker News.<\/p>\n

rastreado como CVE-2022-27924<\/a> (puntuaci\u00f3n CVSS: 7,5), el problema se ha caracterizado como un caso de “envenenamiento de Memcached con solicitud no autenticada”, lo que lleva a un escenario en el que un adversario puede inyectar comandos maliciosos y desviar informaci\u00f3n confidencial.<\/p>\n

\"La<\/a><\/div>\n

Esto es posible envenenando el IMAP<\/a> enrutar las entradas de cach\u00e9 en el servidor Memcached que se utiliza para buscar usuarios de Zimbra y reenviar sus solicitudes HTTP a los servicios de back-end apropiados.<\/p>\n

https:\/\/www.youtube.com\/watch?v=GIgHZrPrGug<\/a><\/p>\n

Dado que Memcached analiza las solicitudes entrantes l\u00ednea por l\u00ednea, la vulnerabilidad permite que un atacante env\u00ede una solicitud de b\u00fasqueda especialmente dise\u00f1ada al servidor que contiene Caracteres CRLF<\/a>lo que hace que el servidor ejecute comandos no deseados.<\/p>\n

La falla existe porque “los caracteres de nueva l\u00ednea (rn) no se escapan en la entrada de un usuario que no es de confianza”, explicaron los investigadores. “Esta falla en el c\u00f3digo finalmente permite a los atacantes robar credenciales de texto claro de los usuarios de las instancias de Zimbra espec\u00edficas”.<\/p>\n

Armado con esta capacidad, el atacante puede posteriormente corromper el cach\u00e9 para sobrescribir una entrada de modo que reenv\u00ede todo el tr\u00e1fico IMAP a un servidor controlado por el atacante, incluidas las credenciales del usuario objetivo en texto no cifrado.<\/p>\n

\"La<\/a><\/div>\n

Dicho esto, el ataque presupone que el adversario ya est\u00e1 en posesi\u00f3n de las direcciones de correo electr\u00f3nico de las v\u00edctimas para poder envenenar las entradas del cach\u00e9 y que utilizan un cliente IMAP para recuperar mensajes de correo electr\u00f3nico de un servidor de correo.<\/p>\n

“Por lo general, una organizaci\u00f3n usa un patr\u00f3n para las direcciones de correo electr\u00f3nico de sus miembros, como por ejemplo, firstname. lastname@example.com”, dijeron los investigadores. “Se puede obtener una lista de direcciones de correo electr\u00f3nico de fuentes OSINT como LinkedIn”.<\/p>\n