(https://i.imgur.com/aAUEXEF.png)
Han surgido detalles técnicos sobre una vulnerabilidad de alta gravedad que afecta a ciertas versiones de la solución de correo electrónico Zimbra que los piratas informáticos podrían explotar para robar inicios de sesión sin autenticación o interacción del usuario.
El problema de seguridad se rastrea actualmente como CVE-2022-27924 e impacta las versiones 8.8.x y 9.x de Zimbra para las versiones comerciales y de código abierto de la plataforma.
Se ha publicado una corrección en las versiones de Zimbra ZCS 9.0.0 parche 24.1 y ZCS 8.8.15 parche 31.1, disponibles desde el 10 de mayo de 2022. Organizaciones de todo el mundo suelen utilizar Zimbra, incluidas las de los sectores gubernamental , financiero y educativo.
Desvío silencioso de credencialesLa falla ha sido descrita en un informe de investigadores de SonarSource, quienes la resumieron como "Envenenamiento de Memcached con una solicitud no autenticada". La explotación es posible a través de una inyección de CRLF en el nombre de usuario de las búsquedas de Memcached.
Memcached es una instancia de servicio interno que almacena pares clave/valor para cuentas de correo electrónico para mejorar el rendimiento de Zimbra al reducir la cantidad de solicitudes HTTP al servicio de búsqueda. Memcache establece y recupera esos pares mediante un protocolo simple basado en texto.
(https://i.imgur.com/joWLtWT.png)
Solicitud HTTP (arriba) y mensaje enviado al servidor (abajo) (SonarSource)
"Por lo general, los clientes de correo como Thunderbird, Microsoft Outlook, la aplicación macOS Mail y las aplicaciones de correo para teléfonos inteligentes almacenan las credenciales que el usuario usó para conectarse a su servidor IMAP en el disco", explica SonarSource en el informe , destacando que el exploit no No requiere ninguna interacción del usuario.
"Cuando el cliente de correo se reinicia o necesita volver a conectarse, lo que puede suceder periódicamente, se volverá a autenticar en la instancia de Zimbra objetivo", agregan los investigadores.
Conocer la dirección de correo electrónico de la víctima, una información que normalmente es fácil de encontrar, y usar un cliente IMAP le permite al atacante explotar la vulnerabilidad más fácilmente, pero estos detalles no son obligatorios.
Una segunda técnica de explotación permite eludir las restricciones anteriores para robar credenciales para cualquier usuario sin interacción y sin ningún conocimiento sobre la instancia de Zimbra.
Esto se logra a través del "contrabando de respuestas", una ruta alternativa que aprovecha el uso de un cliente basado en web para Zimbra.
(https://i.imgur.com/ebK7uwL.png)
De esta manera, un atacante podría secuestrar la conexión proxy de usuarios aleatorios cuyas direcciones de correo electrónico son desconocidas, aún sin requerir ninguna interacción o generar alertas para la víctima.
Corrección y línea de tiempoSonarSource reveló sus hallazgos con Zimbra el 11 de marzo de 2022. Se lanzó un primer parche el 31 de marzo de 2022, pero fue insuficiente para solucionar el problema.
El 10 de mayo, el proveedor de software solucionó los problemas a través de ZCS 9.0.0 Parche 24.1 y ZCS 8.8.15 Parche 31.1 , creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor.
SHA-256 no puede contener espacios en blanco, por lo que no se pueden crear nuevas líneas para la inyección de CRLF y no se pueden producir ataques de envenenamiento en las versiones parcheadas.
Vale la pena señalar que Zimbra lanzó ayer las actualizaciones ZCS 9.0.0 Patch 25 y ZCS 8.8.15 Patch 32 con una actualización de OpenSSL 1.1.1n, que aborda una vulnerabilidad de bucle infinito que causa una denegación de servicio, rastreada como CVE-2022-0778.
Fuente: https://www.bleepingcomputer.com