{"id":201606,"date":"2022-06-14T14:16:03","date_gmt":"2022-06-14T16:16:03","guid":{"rendered":"https:\/\/teknomers.com\/fr\/la-nouvelle-vulnerabilite-de-messagerie-zimbra-pourrait-permettre-aux-attaquants-de-voler-vos-identifiants-de-connexion\/"},"modified":"2022-06-14T14:16:03","modified_gmt":"2022-06-14T16:16:03","slug":"la-nouvelle-vulnerabilite-de-messagerie-zimbra-pourrait-permettre-aux-attaquants-de-voler-vos-identifiants-de-connexion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/la-nouvelle-vulnerabilite-de-messagerie-zimbra-pourrait-permettre-aux-attaquants-de-voler-vos-identifiants-de-connexion\/","title":{"rendered":"La nouvelle vuln\u00e9rabilit\u00e9 de messagerie Zimbra pourrait permettre aux attaquants de voler vos identifiants de connexion"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" alt=\"Vuln\u00e9rabilit\u00e9 de messagerie Zimbra\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjwT-7sjxllHJ33im2ewzJffbf6_amFwUhqE9YNFRn1oAQ_uUG80yrhVww1nwFO03u8FAjo3L5aPpri00LoT5YlIy_nNaHjUA-HdwxkzOkN5gv9pU2AwTSqEFx6X77vbum3g9G807mbjHzdzl0XuPhwLrXr7cJp7nHZLh2neL2jfZ6uBeKjX_S1PG-X\/s728-e1000\/email.jpg\" title=\"Vuln\u00e9rabilit\u00e9 de messagerie Zimbra\"\/><\/div>\n<p>Une nouvelle vuln\u00e9rabilit\u00e9 de haute gravit\u00e9 a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans la suite de messagerie Zimbra qui, si elle est exploit\u00e9e avec succ\u00e8s, permet \u00e0 un attaquant non authentifi\u00e9 de voler les mots de passe en clair des utilisateurs sans aucune interaction de l&#8217;utilisateur.<\/p>\n<p>&#8220;Avec l&#8217;acc\u00e8s qui en r\u00e9sulte aux bo\u00eetes aux lettres des victimes, les attaquants peuvent potentiellement intensifier leur acc\u00e8s aux organisations cibl\u00e9es et acc\u00e9der \u00e0 divers services internes et voler des informations hautement sensibles&#8221;, a d\u00e9clar\u00e9 SonarSource. <a rel=\"nofollow noopener\" href=\"https:\/\/blog.sonarsource.com\/zimbra-mail-stealing-clear-text-credentials-via-memcache-injection\/\" target=\"_blank\">a dit<\/a> dans un rapport partag\u00e9 avec The Hacker News.<\/p>\n<p>Suivi comme <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-27924\" target=\"_blank\">CVE-2022-27924<\/a> (score CVSS\u00a0: 7,5), le probl\u00e8me a \u00e9t\u00e9 caract\u00e9ris\u00e9 comme un cas d'&#8221;empoisonnement Memcached avec requ\u00eate non authentifi\u00e9e&#8221;, conduisant \u00e0 un sc\u00e9nario dans lequel un adversaire peut injecter des commandes malveillantes et siphonner des informations sensibles.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/soc2-gitprotect\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Le-package-PyPI-populaire-ctx-et-la-bibliotheque-PHP-phpass.png\" width=\"300\" height=\"250\"\/><\/a><\/center><\/div>\n<p>Ceci est rendu possible en empoisonnant <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Internet_Message_Access_Protocol\" target=\"_blank\">IMAP<\/a> acheminez les entr\u00e9es de cache dans le serveur Memcached qui est utilis\u00e9 pour rechercher des utilisateurs Zimbra et transmettre leurs requ\u00eates HTTP aux services principaux appropri\u00e9s.<\/p>\n<p><a href=\"https:\/\/www.youtube.com\/watch?v=GIgHZrPrGug\" rel=\"nofollow noopener\" target=\"_blank\">https:\/\/www.youtube.com\/watch?v=GIgHZrPrGug<\/a><\/p>\n<p>\u00c9tant donn\u00e9 que Memcached analyse les requ\u00eates entrantes ligne par ligne, la vuln\u00e9rabilit\u00e9 permet \u00e0 un attaquant d&#8217;envoyer une requ\u00eate de recherche sp\u00e9cialement con\u00e7ue au serveur contenant <a rel=\"nofollow noopener\" href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Glossary\/CRLF\" target=\"_blank\">Caract\u00e8res CRLF<\/a>obligeant le serveur \u00e0 ex\u00e9cuter des commandes involontaires.<\/p>\n<p>La faille existe parce que &#8220;les caract\u00e8res de retour \u00e0 la ligne (\\r\\n) ne sont pas \u00e9chapp\u00e9s dans les entr\u00e9es utilisateur non fiables&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Cette faille de code permet finalement aux attaquants de voler les informations d&#8217;identification en texte clair des utilisateurs des instances Zimbra cibl\u00e9es.&#8221;<\/p>\n<p>Arm\u00e9 de cette capacit\u00e9, l&#8217;attaquant peut ensuite corrompre le cache pour \u00e9craser une entr\u00e9e de sorte qu&#8217;il transf\u00e8re tout le trafic IMAP vers un serveur contr\u00f4l\u00e9 par l&#8217;attaquant, y compris les informations d&#8217;identification de l&#8217;utilisateur cibl\u00e9 en texte clair.<\/p>\n<div class=\"ad_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Cela dit, l&#8217;attaque suppose que l&#8217;adversaire soit d\u00e9j\u00e0 en possession des adresses e-mail des victimes afin de pouvoir empoisonner les entr\u00e9es du cache et qu&#8217;il utilise un client IMAP pour r\u00e9cup\u00e9rer les e-mails d&#8217;un serveur de messagerie.<\/p>\n<p>&#8220;En r\u00e8gle g\u00e9n\u00e9rale, une organisation utilise un mod\u00e8le pour les adresses e-mail de ses membres, comme par exemple firstname. lastname@example.com&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;Une liste d&#8217;adresses e-mail pourrait \u00eatre obtenue \u00e0 partir de sources OSINT telles que LinkedIn.&#8221;<\/p>\n<p><iframe loading=\"lazy\" title=\"Zimbra - Stealing a victim&#039;s password\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/2cXJJzffV-k?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Cependant, un acteur malveillant peut contourner ces restrictions en exploitant une technique appel\u00e9e <a rel=\"nofollow noopener\" href=\"https:\/\/capec.mitre.org\/data\/definitions\/273.html\" target=\"_blank\">r\u00e9ponse contrebande<\/a>qui implique la \u00ab contrebande \u00bb de r\u00e9ponses HTTP non autoris\u00e9es qui abusent de la faille d&#8217;injection CRLF pour transf\u00e9rer le trafic IMAP vers un serveur malveillant, volant ainsi les informations d&#8217;identification des utilisateurs sans connaissance pr\u00e9alable de leurs adresses e-mail.<\/p>\n<p>&#8220;L&#8217;id\u00e9e est qu&#8217;en injectant continuellement plus de r\u00e9ponses qu&#8217;il n&#8217;y a d&#8217;\u00e9l\u00e9ments de travail dans les flux de r\u00e9ponses partag\u00e9s de Memcached, nous pouvons forcer les recherches Memcached al\u00e9atoires \u00e0 utiliser les r\u00e9ponses inject\u00e9es au lieu de la r\u00e9ponse correcte&#8221;, ont expliqu\u00e9 les chercheurs.  &#8220;Cela fonctionne car Zimbra n&#8217;a pas valid\u00e9 la cl\u00e9 de la r\u00e9ponse Memcached lors de sa consommation.&#8221;<\/p>\n<p>Suite \u00e0 la divulgation responsable du 11 mars 2022, des correctifs pour combler compl\u00e8tement la faille de s\u00e9curit\u00e9 ont \u00e9t\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/blog.zimbra.com\/2022\/05\/new-zimbra-security-patches-9-0-0-patch-24-1-and-8-8-15-patch-31-1\/\" target=\"_blank\">Exp\u00e9di\u00e9<\/a> par Zimbra le 10 mai 2022, dans les versions <a rel=\"nofollow noopener\" href=\"https:\/\/wiki.zimbra.com\/wiki\/Zimbra_Releases\/8.8.15\/P31.1\" target=\"_blank\">8.8.15 P31.1<\/a> et <a rel=\"nofollow noopener\" href=\"https:\/\/wiki.zimbra.com\/wiki\/Zimbra_Releases\/9.0.0\/P24.1\" target=\"_blank\">9.0.0 P24.1<\/a>.<\/p>\n<p>Les r\u00e9sultats arrivent des mois apr\u00e8s que la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Volexity a r\u00e9v\u00e9l\u00e9 une campagne d&#8217;espionnage baptis\u00e9e EmailThief qui a militaris\u00e9 une vuln\u00e9rabilit\u00e9 zero-day dans la plate-forme de messagerie pour cibler le gouvernement europ\u00e9en et les entit\u00e9s m\u00e9diatiques dans la nature.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/new-zimbra-email-vulnerability-could.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Une nouvelle vuln\u00e9rabilit\u00e9 de haute gravit\u00e9 a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e dans la suite de messagerie Zimbra qui, si elle est exploit\u00e9e avec succ\u00e8s, permet \u00e0 un attaquant non authentifi\u00e9 de voler les mots de passe en clair des utilisateurs sans aucune interaction de l&#8217;utilisateur. &#8220;Avec l&#8217;acc\u00e8s qui en r\u00e9sulte aux bo\u00eetes aux lettres des victimes, les [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[11865,507,4168,15859,4158,4165,4161,70876,4157,4159,4171,4170,4167,6817,4160,197,4163,4162,5848,2102,4172,4169,4166,8394,690,3667,4164,12362],"class_list":["post-201606","post","type-post","status-publish","format-standard","hentry","category-technologie","tag-attaquants","tag-aux","tag-comment-pirater","tag-connexion","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-identifiants","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-messagerie","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelle","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-permettre","tag-pourrait","tag-securite-informatique","tag-securite-internet","tag-violation-de-donnees","tag-voler","tag-vos","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-zimbra"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/201606","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=201606"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/201606\/revisions"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=201606"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=201606"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=201606"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}