Một lỗ hổng có mức độ nghiêm trọng cao mới đã được tiết lộ trong bộ email Zimbra, nếu bị khai thác thành công, kẻ tấn công chưa xác thực có thể đánh cắp mật khẩu văn bản rõ ràng của người dùng và không có bất kỳ tương tác nào của người dùng.
SonarSource cho biết trong một báo cáo được chia sẻ với The Hacker News: “Với việc truy cập do hậu quả vào hộp thư của nạn nhân, những kẻ tấn công có thể leo thang quyền truy cập của họ vào các tổ chức được nhắm mục tiêu và truy cập vào các dịch vụ nội bộ khác nhau và đánh cắp thông tin nhạy cảm cao”.
Được theo dõi là CVE-2022-27924 (điểm CVSS: 7,5), sự cố được mô tả như một trường hợp “ngộ độc bộ nhớ đệm với yêu cầu chưa được xác thực”, dẫn đến tình huống kẻ thù có thể đưa ra các lệnh độc hại và lấy thông tin nhạy cảm.
Điều này có thể thực hiện được bằng cách nhiễm độc các mục nhập bộ đệm ẩn tuyến IMAP trong máy chủ Memcached được sử dụng để tra cứu người dùng Zimbra và chuyển tiếp các yêu cầu HTTP của họ tới các dịch vụ phụ trợ thích hợp.
Do Memcached phân tích cú pháp các yêu cầu đến từng dòng một, lỗ hổng bảo mật cho phép kẻ tấn công gửi một yêu cầu tra cứu được tạo thủ công đặc biệt tới máy chủ chứa các ký tự CRLF, khiến máy chủ thực hiện các lệnh không mong muốn.
Lỗ hổng tồn tại là do “các ký tự dòng mới ( r n) không được thoát trong dữ liệu nhập của người dùng không đáng tin cậy”, các nhà nghiên cứu giải thích. “Lỗ hổng mã này cuối cùng cho phép những kẻ tấn công đánh cắp thông tin đăng nhập văn bản rõ ràng từ người dùng của các phiên bản Zimbra được nhắm mục tiêu.”
Được trang bị khả năng này, kẻ tấn công sau đó có thể làm hỏng bộ nhớ cache để ghi đè một mục nhập sao cho nó chuyển tiếp tất cả lưu lượng IMAP tới máy chủ do kẻ tấn công kiểm soát, bao gồm thông tin đăng nhập của người dùng được nhắm mục tiêu trong văn bản rõ ràng.
Điều đó nói rằng, cuộc tấn công giả định rằng kẻ thù đã sở hữu địa chỉ email của nạn nhân để có thể đầu độc các mục trong bộ nhớ cache và họ sử dụng một ứng dụng khách IMAP để lấy các thư email từ một máy chủ thư.
“Thông thường, một tổ chức sử dụng một mẫu địa chỉ email cho các thành viên của họ, chẳng hạn như {firstname}. {Lastname}@example.com”, các nhà nghiên cứu cho biết. “Danh sách các địa chỉ email có thể được lấy từ các nguồn OSINT như LinkedIn.”
Tuy nhiên, tác nhân đe dọa có thể vượt qua những hạn chế này bằng cách khai thác một kỹ thuật được gọi là buôn lậu phản hồi, đòi hỏi “nhập lậu” phản hồi HTTP trái phép lạm dụng lỗ hổng chèn CRLF để chuyển tiếp lưu lượng IMAP đến máy chủ giả mạo, do đó lấy cắp thông tin xác thực từ người dùng mà không biết trước địa chỉ email của họ.
Các nhà nghiên cứu giải thích: “Ý tưởng là bằng cách liên tục đưa nhiều phản hồi hơn số mục công việc vào các luồng phản hồi được chia sẻ của Memcached, chúng tôi có thể buộc các tra cứu Memcached ngẫu nhiên sử dụng các phản hồi đã chèn thay vì phản hồi chính xác”, các nhà nghiên cứu giải thích. “Điều này hoạt động vì Zimbra đã không xác thực khóa của phản hồi Memcached khi sử dụng nó.”
Sau khi tiết lộ có trách nhiệm vào ngày 11 tháng 3 năm 2022, các bản vá để bịt hoàn toàn lỗ hổng bảo mật đã được Zimbra vận chuyển vào ngày 10 tháng 5 năm 2022, trong các phiên bản 8.8.15 P31.1 và 9.0.0 P24.1.
Các phát hiện được đưa ra vài tháng sau khi công ty an ninh mạng Volexity tiết lộ một chiến dịch gián điệp có tên EmailThief đã vũ khí hóa lỗ hổng zero-day trong nền tảng email để nhắm mục tiêu vào các tổ chức truyền thông và chính phủ châu Âu.
.
