Έχουν προκύψει τεχνικές λεπτομέρειες σχετικά με μια ευπάθεια υψηλής σοβαρότητας που επηρεάζει ορισμένες εκδόσεις του email solution Zimbra το οποίο οι χάκερ θα μπορούσαν να εκμεταλλευτούν για να κλέψουν logins χωρίς έλεγχο ταυτότητας ή αλληλεπίδραση με τον χρήστη.
Το ζήτημα ασφαλείας παρακολουθείται επί του παρόντος ως CVE-2022-27924 και επηρεάζει τις εκδόσεις Zimbra 8.8.x και 9.x τόσο για τις εκδόσεις ανοιχτού κώδικα όσο και για τις εμπορικές εκδόσεις της πλατφόρμας.
Μια διόρθωση έχει δημοσιευτεί στις εκδόσεις Zimbra ZCS 9.0.0 Patch 24.1 και ZCS 8.8.15 Patch 31.1, που είναι διαθέσιμη από τις 10 Μαΐου 2022. Η Zimbra χρησιμοποιείται συχνά από οργανισμούς σε όλο τον κόσμο, συμπεριλαμβανομένων εκείνων στον κυβερνητικό, οικονομικό και εκπαιδευτικό τομέα.
Δείτε επίσης: Cisco Secure Email: Σφάλμα επιτρέπει παράκαμψη ελέγχου ταυτότητας
Το ελάττωμα έχει περιγραφεί σε μια αναφορά από ερευνητές στο SonarSource, οι οποίοι το συνόψισαν ως “Memcached poisoning with an unauthenticated request.” Η εκμετάλλευση είναι δυνατή μέσω ενός CRLF injection στο username των αναζητήσεων Memcached.
Το Memcached είναι ένα internal-service instance που αποθηκεύει ζεύγη κλειδιών/τιμών για λογαριασμούς email για να βελτιώσει την απόδοση της Zimbra μειώνοντας τον αριθμό των αιτημάτων HTTP στο Lookup Service. Το Memcache ορίζει και ανακτά αυτά τα ζεύγη χρησιμοποιώντας ένα απλό πρωτόκολλο που βασίζεται σε κείμενο.
Οι ερευνητές εξηγούν ότι ένας κακόβουλος παράγοντας θα μπορούσε να αντικαταστήσει τις καταχωρήσεις διαδρομής IMAP για ένα γνωστό username μέσω ενός ειδικά διαμορφωμένου αιτήματος HTTP στο ευάλωτο Zimbra instance. Στη συνέχεια, όταν ο πραγματικός χρήστης συνδεθεί, ο Nginx Proxy στο Zimbra θα προωθήσει όλη την κίνηση IMAP στον εισβολέα, συμπεριλαμβανομένων των credentials σε απλό κείμενο.
«Συνήθως, οι mail clients όπως οι Thunderbird, Microsoft Outlook, η εφαρμογή macOS Mail και οι εφαρμογές αλληλογραφίας Smartphone αποθηκεύουν τα credentials που χρησιμοποιούσε ο χρήστης για να συνδεθεί στον IMAP server του στο δίσκο», εξηγεί το SonarSource στην αναφορά, τονίζοντας ότι το exploit δεν απαιτεί οποιαδήποτε αλληλεπίδραση με τον χρήστη.
Δείτε επίσης: Παλιά ελαττώματα στο Telerik εκμεταλλεύονται για ανάπτυξη Cobalt Strike
«Όταν ο Mail client επανεκκινηθεί ή χρειάζεται να επανασυνδεθεί, κάτι που μπορεί να συμβαίνει περιοδικά, θα επαναπροσδιοριστεί η ταυτότητα του στο στοχευμένο Zimbra instance», προσθέτουν οι ερευνητές.
Γνωρίζοντας το email του θύματος, μια πληροφορία που συνήθως είναι εύκολο να βρεθεί, και η χρήση ενός IMAP client επιτρέπει στον εισβολέα να εκμεταλλευτεί την ευπάθεια ευκολότερα.
Μια δεύτερη τεχνική exploitation επιτρέπει την παράκαμψη των παραπάνω περιορισμών για την κλοπή των credentials για οποιονδήποτε χρήστη χωρίς αλληλεπίδραση και χωρίς καμία γνώση σχετικά με το Zimbra instance.
Αυτό επιτυγχάνεται μέσω του “Response Smuggling”, μιας εναλλακτικής διαδρομής που αξιοποιεί τη χρήση ενός web-based client για το Zimbra.
Με αυτόν τον τρόπο, ένας εισβολέας θα μπορούσε να παραβιάσει τη σύνδεση proxy τυχαίων χρηστών των οποίων οι διευθύνσεις email είναι άγνωστες, χωρίς να απαιτείται καμία αλληλεπίδραση και ή δημιουργώντας ειδοποιήσεις για το θύμα.
Διόρθωση και χρονοδιάγραμμα
Η SonarSource αποκάλυψε τα ευρήματά της στη Zimbra στις 11 Μαρτίου 2022. Μια πρώτη ενημέρωση κώδικα κυκλοφόρησε στις 31 Μαρτίου 2022, αλλά ήταν ανεπαρκής για την επίλυση του προβλήματος.
Στις 10 Μαΐου, η εταιρεία αντιμετώπισε τα ζητήματα μέσω του ZCS 9.0.0 Patch 24.1 και του ZCS 8.8.15 Patch 31.1, δημιουργώντας ένα SHA-256 hash όλων των κλειδιών Memcache πριν σταλούν στον server.
Το SHA-256 δεν μπορεί να περιέχει κενά, επομένως δεν μπορούν να δημιουργηθούν νέες γραμμές για το CRLF injection και δεν μπορούν να πραγματοποιηθούν επιθέσεις poisoning στις επιδιορθωμένες εκδόσεις.
Δείτε επίσης: Το νέο Go botnet Panchan εξαπλώνεται γρήγορα στα εκπαιδευτικά δίκτυα
Αξίζει να σημειωθεί ότι η Zimbra κυκλοφόρησε χθες ενημερώσεις ενημερωμένης έκδοσης κώδικα ZCS 9.0.0 Patch 25 και ZCS 8.8.15 Patch 32 με μια ενημέρωση στο OpenSSL 1.1.1n, η οποία αντιμετωπίζει μια ευπάθεια infinite loop που προκαλεί denial of service, η οποία παρακολουθείται ως CVE-2022-0778.
Πηγή πληροφοριών: bleepingcomputer.com
