Новая ошибка Zimbra позволяет украсть данные без участия пользователя
Появились технические подробности об уязвимости решения Zimbra, которую хакеры могут использовать для кражи логинов без взаимодействия с пользователем или аутентификации.
Проблема безопасности в настоящее время отслеживается как CVE-2022-27924 и затрагивает выпуски Zimbra 8.8x и 9.x как для открытых, так и для коммерческих версий платформы. Ранее было опубликовано исправление для версий Zimbra ZCS 9.0.0 Patch 24.1 и ZCS 8.8.15 Patch 31.1, однако патча оказалось недостаточно.
Недостаток обнаружили исследователи SonarSource и описали его следующим образом:
«Эксплуатация уязвимости возможна путем внедрения CRLF в имя пользователя поисковых запросов Memcached. Memcached — это экземпляр внутренней службы, в котором хранятся пары “ключ-значение” для учетных записей электронной почты, для повышения производительности Zimbra за счет уменьшения количества HTTP-запросов к службе поиска. Служба устанавливает и извлекает эти пары с помощью простого текстового протокола.
Злоумышленник может перезаписать записи маршрута IMAP для известного имени пользователя с помощью специально созданного HTTP-запроса к уязвимому экземпляру Zimbra. Когда реальный пользователь входит в систему, прокси-сервер Nginx в Zimbra перенаправляет весь трафик IMAP злоумышленнику. Эта информация будет включать учетные данные.
Обычно почтовые клиенты, такие как Microsoft Outlook, почтовое приложение macOS и почтовые приложения для смартфонов, хранят на диске учетные данные, которые пользователь использовал для подключения к своему серверу IMAP. Когда почтовый клиент перезапускается или ему необходимо переподключиться, он повторно аутентифицирует себя в целевом экземпляре Zimbra».
Хотя есть способы использовать уязвимость без них, знание адресов электронной почты и клиентов IMAP упрощает использование уязвимости.
Другой метод эксплуатации позволяет обойти описанный выше шаг и украсть учетные данные любого пользователя без взаимодействия и без каких-либо знаний об экземпляре Zimbra. Это достигается за счет «контрабанды ответов», которая использует веб-клиент для Zimbra. Таким образом, злоумышленник может перехватить прокси-соединение случайных пользователей, адреса электронной почты которых неизвестны, не создавая предупреждений и не требуя какого-либо взаимодействия со стороны жертвы.
Zimbra выпустила обновления ZCS 9.0.0 Patch 25 и ZCS 8.8.15 Patch 31 с обновлением до OpenSSL 1.1.1n.
