 |
Han surgido detalles técnicos sobre una vulnerabilidad de alta gravedad que afecta a ciertas versiones de la solución de correo electrónico Zimbra y que los piratas informáticos podrían aprovechar para robar inicios de sesión sin autenticación ni interacción del usuario. |
Se ha revelado una nueva vulnerabilidad de alta gravedad en la suite de correo electrónico Zimbra que, si se explota con éxito, permite a un atacante no autenticado robar las contraseñas en texto claro de los usuarios sin ninguna interacción con ellos.
"Con el consiguiente acceso a los buzones de las víctimas, los atacantes pueden escalar potencialmente su acceso a las organizaciones objetivo y obtener acceso a varios servicios internos y robar información altamente sensible", dijo SonarSource en un informe compartido con The Hacker News.
El problema, identificado como CVE-2022-27924 (puntuación CVSS: 7,5), se ha caracterizado como un caso de "envenenamiento de Memcached con solicitud no autenticada", que conduce a un escenario en el que un adversario puede inyectar comandos maliciosos y desviar información sensible.
Esto es posible envenenando las entradas de la caché de la ruta IMAP en el servidor Memcached que se utiliza para buscar usuarios de Zimbra y reenviar sus peticiones HTTP a los servicios backend apropiados. Memcached es un sistema de almacenamiento de valores clave en memoria que se utiliza como caché de alto rendimiento o almacén de sesiones para bases de datos externas y llamadas a la API, en este caso el servicio de búsqueda.
Dado que Memcached analiza las solicitudes entrantes línea por línea, la vulnerabilidad permite a un atacante enviar una solicitud de búsqueda especialmente diseñada al servidor que contenga caracteres CRLF, haciendo que el servidor ejecute comandos no deseados.
El fallo se debe a que "los caracteres de nueva línea (\r\n) no se evitan en las entradas de usuario no fiables", explican los investigadores. "Este fallo de código permite en última instancia a los atacantes robar credenciales en texto claro de los usuarios de las instancias de Zimbra seleccionadas".
Armado con esta capacidad, el atacante puede posteriormente corromper la caché para sobrescribir una entrada de forma que reenvíe todo el tráfico IMAP a un servidor controlado por el atacante, incluyendo las credenciales del usuario objetivo en texto claro
Dicho esto, el ataque presupone que el agresor ya está en posesión de las direcciones de correo electrónico de las víctimas para poder envenenar las entradas de la caché y que éstas utilizan un cliente IMAP para recuperar los mensajes de correo electrónico de un servidor de correo.
"Normalmente, una organización utiliza un patrón para las direcciones de correo electrónico de sus miembros, como por ejemplo, {nombre}.{apellido}@ejemplo.com", explican los investigadores. "Una lista de direcciones de correo electrónico podría obtenerse de fuentes OSINT como LinkedIn.
Sin embargo, los atacantes pueden eludir estas restricciones explotando una técnica denominada contrabando de respuestas, que consiste en "contrabandear" respuestas HTTP no autorizadas que abusan del defecto de inyección CRLF para reenviar el tráfico IMAP a un servidor falso, robando así las credenciales de los usuarios sin conocer previamente sus direcciones de correo electrónico.
"La idea es que inyectando continuamente más respuestas que elementos de trabajo en los flujos de respuesta compartidos de Memcached, podemos forzar las búsquedas aleatorias de Memcached para que utilicen las respuestas inyectadas en lugar de la respuesta correcta", explicaron los investigadores. "Esto funciona porque Zimbra no validó la clave de la respuesta de Memcached al consumirla".
Tras la revelación responsable el 11 de marzo de 2022, Zimbra envió parches para tapar completamente el agujero de seguridad el 10 de mayo de 2022, en las versiones 8.8.15 P31.1 y 9.0.0 P24.1.
Los hallazgos llegan meses después de que la empresa de ciberseguridad Volexity revelara una campaña de espionaje apodada EmailThief que utilizaba una vulnerabilidad de día cero en la plataforma de correo electrónico para atacar a entidades gubernamentales y medios de comunicación europeos.
Fuente: https://thehackernews.com/2022/06/new-zimbra-email-vulnerability-could.html