Một lỗ hổng mới trong bộ email Zimbra vừa được tiết lộ, khi bị khai thác thành công, kẻ tấn công có thể đánh cắp thông tin xác thực mà không cần sự tương tác của người dùng.
SonarSource cho biết trong một báo cáo được chia sẻ với The Hacker News: “khi có quyền truy cập vào hộp thư của nạn nhân, kẻ tấn công có thể leo thang quyền truy cập vào tổ chức, truy cập nhiều dịch vụ nội bộ khác và đánh cắp thông tin nhạy cảm”.
CVE-2022-27924 (CVSS: 7,5), sự cố được mô tả như một trường hợp “tấn công bộ nhớ đệm với request chưa được xác thực”, dẫn đến tình huống hacker có thể đưa ra các lệnh độc hại và lấy thông tin nhạy cảm.
Cuộc tấn công có thể thực hiện được bằng cách tấn công vào bộ đệm IMAP trong máy chủ Memcached được sử dụng để tra cứu người dùng Zimbra và chuyển tiếp các yêu cầu HTTP của họ tới các dịch vụ phụ trợ thích hợp.
Do Memcached phân tích cú pháp các yêu cầu đến từng dòng một, lỗ hổng bảo mật cho phép kẻ tấn công gửi request được tạo đặc biệt tới máy chủ chứa các ký tự CRLF, khiến máy chủ thực hiện các lệnh không mong muốn.
Các nhà nghiên cứu giải thích, lỗ hổng tồn tại là do “các ký tự dòng mới (\ r \ n) không được filter trong dữ liệu nhập của người dùng không đáng tin cậy. Lỗ hổng mã này cuối cùng cho phép những kẻ tấn công đánh cắp thông tin đăng nhập văn bản rõ ràng từ người dùng của các phiên bản Zimbra.”
Được trang bị khả năng này, kẻ tấn công sau đó có thể làm hỏng bộ nhớ cache để ghi đè một mục nhập sao cho nó chuyển tiếp tất cả lưu lượng IMAP tới máy chủ do kẻ tấn công kiểm soát, bao gồm thông tin đăng nhập của người dùng được nhắm mục tiêu trong văn bản rõ ràng.
Điều đó nói rằng, cuộc tấn công giả định rằng kẻ thù đã sở hữu địa chỉ email của nạn nhân để có thể đầu độc các mục trong bộ nhớ cache và họ sử dụng một ứng dụng khách IMAP để lấy các thư email từ một máy chủ thư.
Các nhà nghiên cứu cho biết: “Thông thường, một tổ chức sử dụng một mẫu địa chỉ email cho các thành viên của họ, chẳng hạn như {firstname}.{lastname}@example.com”. “Danh sách các địa chỉ email có thể được lấy từ các nguồn OSINT như LinkedIn.”
Tuy nhiên, các tác nhân độc hại vẫn có thể bỏ qua giải pháp này để chuyển tiếp các traffic IMAP đến máy chủ C&C để đánh cắp thông tin.
Sau khi tuyên bố vào ngày 11/03, Zimbra đã phát hành các bản cập nhật để giải quyết hoàn toàn lỗ hổng vào ngày 10/05/2022 trong các phiên bản 8.8.15 P31.1 và 9.0.0 P24.1.
Theo thehackernews