Kerentanan tingkat tinggi baru telah diungkapkan di suite email Zimbra yang, jika berhasil dieksploitasi, memungkinkan penyerang yang tidak diautentikasi untuk mencuri kata sandi teks jelas pengguna tanpa interaksi pengguna apa pun.
“Dengan konsekuensi akses ke kotak surat korban, penyerang berpotensi meningkatkan akses mereka ke organisasi yang ditargetkan dan mendapatkan akses ke berbagai layanan internal dan mencuri informasi yang sangat sensitif,” kata SonarSource dalam sebuah laporan yang dibagikan kepada The Hacker News.
Dilacak sebagai CVE-2022-27924 (skor CVSS: 7,5), masalah ini ditandai sebagai kasus “Keracunan memcached dengan permintaan yang tidak diautentikasi,” yang mengarah ke skenario di mana musuh dapat menyuntikkan perintah jahat dan menyedot informasi sensitif.
Ini dimungkinkan dengan meracuni entri cache rute IMAP di server Memcached yang digunakan untuk mencari pengguna Zimbra dan meneruskan permintaan HTTP mereka ke layanan backend yang sesuai.
https://www.youtube.com/watch?v=GIgHZrPrGug
Mengingat bahwa Memcached mem-parsing permintaan masuk baris demi baris, kerentanan memungkinkan penyerang mengirim permintaan pencarian yang dibuat khusus ke server yang berisi karakter CRLF, menyebabkan server menjalankan perintah yang tidak diinginkan.
Cacat itu ada karena “karakter baris baru (\r\n) tidak lolos dalam input pengguna yang tidak tepercaya,” para peneliti menjelaskan. “Cacat kode ini pada akhirnya memungkinkan penyerang mencuri kredensial cleartext dari pengguna instance Zimbra yang ditargetkan.”
Berbekal kemampuan ini, penyerang selanjutnya dapat merusak cache untuk menimpa entri sedemikian rupa sehingga meneruskan semua lalu lintas IMAP ke server yang dikendalikan penyerang, termasuk kredensial pengguna yang ditargetkan dalam cleartext.
Yang mengatakan, serangan itu mengandaikan musuh sudah memiliki alamat email korban sehingga dapat meracuni entri cache dan mereka menggunakan klien IMAP untuk mengambil pesan email dari server email.
“Biasanya, sebuah organisasi menggunakan pola alamat email untuk anggotanya, seperti misalnya {firstname}. {lastname}@example.com,” kata para peneliti. “Daftar alamat email dapat diperoleh dari sumber OSINT seperti LinkedIn.”
Namun, aktor ancaman dapat mengatasi pembatasan ini dengan memanfaatkan teknik yang disebut penyelundupan respons, yang memerlukan “penyelundupan” respons HTTP tidak sah yang menyalahgunakan kelemahan injeksi CRLF untuk meneruskan lalu lintas IMAP ke server jahat, sehingga mencuri kredensial dari pengguna tanpa sepengetahuan sebelumnya. dari alamat email mereka.
“Idenya adalah dengan terus menyuntikkan lebih banyak respons daripada item pekerjaan ke dalam aliran respons bersama Memcached, kami dapat memaksa pencarian Memcached acak untuk menggunakan respons yang disuntikkan alih-alih respons yang benar,” para peneliti menjelaskan. “Ini berfungsi karena Zimbra tidak memvalidasi kunci respons Memcached saat menggunakannya.”
Setelah pengungkapan yang bertanggung jawab pada 11 Maret 2022, patch untuk menutup lubang keamanan sepenuhnya dikirimkan oleh Zimbra pada 10 Mei 2022, dalam versi 8.8.15 P31.1 dan 9.0.0 P24.1.
Temuan itu muncul beberapa bulan setelah perusahaan keamanan siber Volexity mengungkapkan kampanye spionase yang dijuluki EmailThief yang mempersenjatai kerentanan zero-day di platform email untuk menargetkan pemerintah Eropa dan entitas media di alam liar.