Vulnerabilidad de Zimbra permitiría que los atacantes roben tus credenciales de inicio de sesión
Un adversario puede inyectar comandos maliciosos y desviar información confidencial
Se ha revelado una nueva vulnerabilidad de alta gravedad en el paquete de correo electrónico Zimbra que, si se explota con éxito, permite a un atacante no autenticado robar contraseñas de texto sin cifrar de los usuarios sin ninguna interacción del usuario.
"Con el consiguiente acceso a los buzones de correo de las víctimas, los atacantes pueden escalar potencialmente su acceso a organizaciones objetivo y obtener acceso a varios servicios internos y robar información altamente confidencial", dijo en un informe SonarSource.
Registrado como CVE-2022-27924 (puntuación CVSS: 7,5), el problema se ha caracterizado como un caso de "envenenamiento de Memcached con solicitud no autenticada", lo que lleva a un escenario en el que un adversario puede inyectar comandos maliciosos y desviar información confidencial.
Esto es posible gracias al envenenamiento de las entradas de caché de ruta IMAP en el servidor Memcached que se usa para buscar usuarios de Zimbra y reenviar sus solicitudes HTTP a los servicios de back-end apropiados.
Dado que Memcached analiza las solicitudes entrantes línea por línea, la vulnerabilidad permite que un atacante envíe al servidor una solicitud de búsqueda especialmente diseñada que contiene caracteres CRLF, lo que hace que el servidor ejecute comandos no deseados.
La falla existe porque "los caracteres de nueva línea (\r\n) no se escapan en la entrada de un usuario que no es de confianza", explicaron los investigadores. "Esta falla en el código finalmente permite a los atacantes robar credenciales de texto sin cifrar de los usuarios de las instancias de Zimbra específicas".
Armado con esta capacidad, el atacante puede posteriormente corromper el caché para sobrescribir una entrada de modo que reenvíe todo el tráfico IMAP a un servidor controlado por el atacante, incluidas las credenciales del usuario objetivo en texto no cifrado.
Dicho esto, el ataque presupone que el adversario ya está en posesión de las direcciones de correo electrónico de las víctimas para poder envenenar las entradas del caché y que utilizan un cliente IMAP para recuperar mensajes de correo electrónico de un servidor de correo.
"Por lo general, una organización usa un patrón para las direcciones de correo electrónico de sus miembros, como por ejemplo, {nombre}.{apellido}@example.com", dijeron los investigadores. "Se puede obtener una lista de direcciones de correo electrónico de fuentes OSINT como LinkedIn".
Sin embargo, un actor de amenazas puede eludir estas restricciones explotando una técnica llamada contrabando de respuestas, que implica "contrabando" de respuestas HTTP no autorizadas que abusan de la falla de inyección CRLF para reenviar el tráfico IMAP a un servidor no autorizado, robando así las credenciales de los usuarios sin conocimiento previo de sus direcciones de correo electrónico.
"La idea es que al inyectar continuamente más respuestas que elementos de trabajo en los flujos de respuesta compartidos de Memcached, podemos forzar búsquedas aleatorias de Memcached para usar respuestas inyectadas en lugar de la respuesta correcta", explicaron los investigadores. "Esto funciona porque Zimbra no validó la clave de la respuesta de Memcached al consumirla".
Luego de la divulgación responsable el 11 de marzo de 2022, Zimbra envió parches para tapar completamente el agujero de seguridad el 10 de mayo de 2022, en las versiones 8.8.15 P31.1 y 9.0.0 P24.1.
Los hallazgos llegan meses después de que la firma de seguridad cibernética Volexity revelara una campaña de espionaje denominada EmailThief que utilizó como arma una vulnerabilidad de día cero en la plataforma de correo electrónico para apuntar a entidades gubernamentales y de medios de comunicación europeas.
