Une nouvelle vulnérabilité de haute gravité a été révélée dans la suite de messagerie Zimbra qui, si elle est exploitée avec succès, permet à un attaquant non authentifié de voler les mots de passe en clair des utilisateurs sans aucune interaction de l’utilisateur.
« Avec l’accès qui en résulte aux boîtes aux lettres des victimes, les attaquants peuvent potentiellement intensifier leur accès aux organisations ciblées et accéder à divers services internes et voler des informations hautement sensibles », a déclaré SonarSource. a dit dans un rapport partagé avec The Hacker News.
Suivi comme CVE-2022-27924 (score CVSS : 7,5), le problème a été caractérisé comme un cas d' »empoisonnement Memcached avec requête non authentifiée », conduisant à un scénario dans lequel un adversaire peut injecter des commandes malveillantes et siphonner des informations sensibles.
Ceci est rendu possible en empoisonnant IMAP acheminez les entrées de cache dans le serveur Memcached qui est utilisé pour rechercher des utilisateurs Zimbra et transmettre leurs requêtes HTTP aux services principaux appropriés.
https://www.youtube.com/watch?v=GIgHZrPrGug
Étant donné que Memcached analyse les requêtes entrantes ligne par ligne, la vulnérabilité permet à un attaquant d’envoyer une requête de recherche spécialement conçue au serveur contenant Caractères CRLFobligeant le serveur à exécuter des commandes involontaires.
La faille existe parce que « les caractères de retour à la ligne (\r\n) ne sont pas échappés dans les entrées utilisateur non fiables », ont expliqué les chercheurs. « Cette faille de code permet finalement aux attaquants de voler les informations d’identification en texte clair des utilisateurs des instances Zimbra ciblées. »
Armé de cette capacité, l’attaquant peut ensuite corrompre le cache pour écraser une entrée de sorte qu’il transfère tout le trafic IMAP vers un serveur contrôlé par l’attaquant, y compris les informations d’identification de l’utilisateur ciblé en texte clair.
Cela dit, l’attaque suppose que l’adversaire soit déjà en possession des adresses e-mail des victimes afin de pouvoir empoisonner les entrées du cache et qu’il utilise un client IMAP pour récupérer les e-mails d’un serveur de messagerie.
« En règle générale, une organisation utilise un modèle pour les adresses e-mail de ses membres, comme par exemple firstname. [email protected] », ont déclaré les chercheurs. « Une liste d’adresses e-mail pourrait être obtenue à partir de sources OSINT telles que LinkedIn. »
Cependant, un acteur malveillant peut contourner ces restrictions en exploitant une technique appelée réponse contrebandequi implique la « contrebande » de réponses HTTP non autorisées qui abusent de la faille d’injection CRLF pour transférer le trafic IMAP vers un serveur malveillant, volant ainsi les informations d’identification des utilisateurs sans connaissance préalable de leurs adresses e-mail.
« L’idée est qu’en injectant continuellement plus de réponses qu’il n’y a d’éléments de travail dans les flux de réponses partagés de Memcached, nous pouvons forcer les recherches Memcached aléatoires à utiliser les réponses injectées au lieu de la réponse correcte », ont expliqué les chercheurs. « Cela fonctionne car Zimbra n’a pas validé la clé de la réponse Memcached lors de sa consommation. »
Suite à la divulgation responsable du 11 mars 2022, des correctifs pour combler complètement la faille de sécurité ont été Expédié par Zimbra le 10 mai 2022, dans les versions 8.8.15 P31.1 et 9.0.0 P24.1.
Les résultats arrivent des mois après que la société de cybersécurité Volexity a révélé une campagne d’espionnage baptisée EmailThief qui a militarisé une vulnérabilité zero-day dans la plate-forme de messagerie pour cibler le gouvernement européen et les entités médiatiques dans la nature.