Uma nova vulnerabilidade do Zimbra de alta gravidade foi divulgada no pacote de e-mail Zimbra que, se explorada com sucesso, permite que um invasor não autenticado roube senhas em texto simples de usuários sem qualquer interação do usuário.
“Com o consequente acesso às caixas de correio das vítimas, os invasores podem potencialmente aumentar seu acesso a organizações visadas e obter acesso a vários serviços internos e roubar informações altamente confidenciais”, disse a SonarSource em um relatório compartilhado com o The Hacker News.
Rastreado como CVE-2022-27924 (pontuação CVSS: 7,5), o problema foi caracterizado como um caso de "envenenamento de Memcached com solicitação não autenticada", levando a um cenário em que um adversário pode injetar comandos maliciosos e desviar informações confidenciais.
Isso é possível envenenando as entradas de cache da rota IMAP no servidor Memcached que é usado para procurar usuários do Zimbra e encaminhar suas solicitações HTTP para os serviços de back-end apropriados.
Como o Memcached analisa as solicitações de entrada linha por linha, a vulnerabilidade permite que um invasor envie uma solicitação de pesquisa especialmente criada para o servidor contendo caracteres CRLF , fazendo com que o servidor execute comandos não intencionais.
A falha existe porque "caracteres de nova linha (\r\n) não são escapados na entrada do usuário não confiável", explicaram os pesquisadores. "Esta falha de código permite que os invasores roubem credenciais de texto simples de usuários de instâncias Zimbra direcionadas."
Armado com esse recurso, o invasor pode corromper o cache subsequentemente para substituir uma entrada de modo que ele encaminhe todo o tráfego IMAP para um servidor controlado pelo invasor, incluindo as credenciais do usuário alvo em texto não criptografado.
Dito isso, o ataque pressupõe que o adversário já esteja de posse dos endereços de e-mail das vítimas para poder envenenar as entradas do cache e que eles usem um cliente IMAP para recuperar mensagens de e-mail de um servidor de e-mail.
"Normalmente, uma organização usa um padrão para endereços de e-mail para seus membros, como, por exemplo, {firstname}.{lastname}@example.com", disseram os pesquisadores. "Uma lista de endereços de e-mail pode ser obtida de fontes OSINT, como LinkedIn."
Um agente de ameaças, no entanto, pode contornar essas restrições explorando uma técnica chamada contrabando de respostas , que envolve "contrabando" de respostas HTTP não autorizadas que abusam da falha de injeção de CRLF para encaminhar o tráfego IMAP para um servidor não autorizado, roubando credenciais de usuários sem conhecimento prévio de seus endereços de e-mail.
“A ideia é que, ao injetar continuamente mais respostas do que itens de trabalho nos fluxos de respostas compartilhadas do Memcached, podemos forçar pesquisas aleatórias do Memcached a usar respostas injetadas em vez da resposta correta”, explicaram os pesquisadores. "Isso funciona porque o Zimbra não validou a chave da resposta do Memcached ao consumi-la."
Após a divulgação responsável em 11 de março de 2022, patches para tapar completamente a falha de segurança foram enviados pela Zimbra em 10 de maio de 2022, nas versões 8.8.15 P31.1 e 9.0.0 P24.1 .
As descobertas chegam meses depois que a empresa de segurança cibernética Volexity divulgou uma campanha de espionagem apelidada de EmailThief que armava uma vulnerabilidade de dia zero na plataforma de e-mail para atingir o governo europeu e entidades de mídia em estado selvagem.
fonte: the hacker news
Acompanhe nosso blog e fique por dentro das noticias mais recentes
