Lỗ hổng email mới của Zimbra có thể cho phép những kẻ tấn công lấy cắp thông tin đăng nhập của bạn

Lỗ hổng email Zimbra

Một có mức độ nghiêm trọng cao mới đã được tiết lộ trong bộ email Zimbra, nếu bị khai thác thành công, kẻ tấn công chưa xác thực có thể đánh cắp mật khẩu văn bản rõ ràng của người dùng và không có bất kỳ tương tác nào của người dùng.

cho biết trong một báo cáo được chia sẻ với The Hacker News: “Với việc truy cập do hậu quả vào hộp thư của nạn nhân, những kẻ tấn công có thể leo thang quyền truy cập của họ vào các tổ chức được nhắm mục tiêu và truy cập vào các dịch vụ nội bộ khác nhau và đánh cắp thông tin nhạy cảm cao”.

Được theo dõi là CVE-2022-27924 (điểm CVSS: 7,5), sự cố được mô tả như một trường hợp “ngộ độc bộ nhớ đệm với yêu cầu chưa được xác thực”, dẫn đến tình huống kẻ thù có thể đưa ra các lệnh độc hại và lấy thông tin nhạy cảm.

Điều này có thể thực hiện được bằng cách nhiễm độc các mục nhập bộ đệm ẩn tuyến IMAP trong máy chủ Memcached được sử dụng để tra cứu người dùng Zimbra và chuyển tiếp các yêu cầu HTTP của họ tới các dịch vụ phụ trợ thích hợp.

Do Memcached cú pháp các yêu cầu đến từng dòng một, lỗ hổng bảo mật cho phép kẻ tấn công gửi một yêu cầu tra cứu được tạo thủ công đặc biệt tới máy chủ chứa các ký tự CRLF, khiến máy chủ thực hiện các lệnh không mong muốn.

Xem tiếp:   Các trang web nhắm mục tiêu phần mềm độc hại Linux dựa trên Golang mới trên các trang web thương mại điện tử

Lỗ hổng tồn tại là do “các ký tự dòng mới ( r n) không được thoát trong dữ liệu nhập của người dùng không đáng tin cậy”, các nhà nghiên cứu giải thích. “Lỗ hổng mã này cuối cùng cho phép những kẻ tấn công đánh cắp thông tin đăng nhập văn bản rõ ràng từ người dùng của các phiên bản Zimbra được nhắm mục tiêu.”

Được trang bị khả năng này, kẻ tấn công sau đó có thể làm hỏng bộ nhớ cache để ghi đè một mục nhập sao cho nó chuyển tiếp tất cả lưu lượng IMAP tới máy chủ do kẻ tấn công kiểm soát, bao gồm thông tin đăng nhập của người dùng được nhắm mục tiêu trong văn bản rõ ràng.

Điều đó nói rằng, cuộc tấn công giả định rằng kẻ thù đã sở hữu địa chỉ email của nạn nhân để có thể đầu độc các mục trong bộ nhớ cache và họ sử dụng một ứng dụng khách IMAP để lấy các thư email từ một máy chủ thư.

“Thông thường, một tổ chức sử dụng một mẫu địa chỉ email cho các thành viên của họ, chẳng hạn như {firstname}. {Lastname}@example.com”, các nhà nghiên cứu cho biết. “Danh sách các địa chỉ email có thể được lấy từ các nguồn OSINT như LinkedIn.”

Tuy nhiên, tác nhân đe dọa có thể vượt qua những hạn chế này bằng cách khai thác một kỹ thuật được gọi là buôn lậu phản hồi, đòi hỏi “nhập lậu” phản hồi HTTP trái phép lạm dụng lỗ hổng chèn CRLF để chuyển tiếp lưu lượng IMAP đến máy chủ giả mạo, do đó lấy cắp thông tin xác thực từ người dùng mà không biết trước địa chỉ email của họ.

Xem tiếp:   Tin tặc đã khai thác lỗ hổng trong 0 ngày trong nền tảng email Zimbra để theo dõi người dùng

Các nhà nghiên cứu giải thích: “Ý tưởng là bằng cách liên tục đưa nhiều phản hồi hơn số mục công việc vào các luồng phản hồi được chia sẻ của Memcached, chúng tôi có thể buộc các tra cứu Memcached ngẫu nhiên sử dụng các phản hồi đã chèn thay vì phản hồi chính xác”, các nhà nghiên cứu giải thích. “Điều này hoạt động vì Zimbra đã không xác thực khóa của phản hồi Memcached khi sử dụng nó.”

Sau khi tiết lộ có trách nhiệm vào ngày 11 tháng 3 năm 2022, các bản vá để bịt hoàn toàn lỗ hổng bảo mật đã được Zimbra vận chuyển vào ngày 10 tháng 5 năm 2022, trong các phiên bản 8.8.15 P31.1 và 9.0.0 P24.1.

Các phát hiện được đưa ra vài tháng sau khi công ty an ninh mạng Volexity tiết lộ một chiến dịch gián điệp có tên EmailThief đã vũ khí hóa lỗ hổng zero-day trong nền tảng email để nhắm mục tiêu vào các tổ chức truyền thông và chính phủ châu Âu.

.

Related Posts

Check Also

Google cho biết ISP đã giúp những kẻ tấn công lây nhiễm vào điện thoại thông minh được nhắm mục tiêu bằng phần mềm gián điệp Hermit

Một tuần sau khi phát hiện ra rằng một phần mềm gián điệp di động …