Se ha revelado una nueva vulnerabilidad de alta gravedad en el paquete de correo electrónico de Zimbra que, si se explota con éxito, permite que un atacante no autenticado robe contraseñas de texto sin cifrar sin ninguna interacción del usuario.

Detalles:

Registrado como CVE-2022-27924 (CVSS: 7,5), el problema se ha caracterizado como un caso de «envenenamiento de Memcached con solicitud no autenticada«, lo que lleva a un escenario en el que un atacante puede inyectar comandos maliciosos y desviar información confidencial. Con el consiguiente acceso a los buzones de correo de las víctimas, los atacantes pueden escalar potencialmente su acceso a organizaciones objetivo, obtener acceso a varios servicios internos y robar información altamente confidencial.

Esto es posible gracias al envenenamiento de las entradas de caché de ruta IMAP en el servidor Memcached que se usa para buscar usuarios de Zimbra y reenviar sus solicitudes HTTP a los servicios de back-end apropiados.

Recursos afectados

Las fallas de código están presentes en las versiones 8.8.x y 9.x de Zimbra, afectando tanto a las versiones comerciales como de código abierto. Los defectos del código afectan al proxy inverso de Zimbra y pueden ser explotados con configuraciones predeterminadas por un atacante no autenticado.

Estrategias de ataque:

Existen dos estrategias que los atacantes podrían usar para aprovechar esta vulnerabilidad:

• La primera estrategia requiere que el atacante conozca la dirección de correo electrónico de las víctimas para poder robar sus credenciales de inicio de sesión. Por lo general, una organización usa un patrón para las direcciones de correo electrónico de sus miembros, como {firstname}.{lastname}@example.com. Se puede obtener una lista de direcciones de correo electrónico de fuentes OSINT como LinkedIn.
• La segunda técnica de explotación, utiliza «Response Smuggling» para eludir las restricciones impuestas por la primera estrategia y permite que un atacante robe credenciales de texto sin cifrar de cualquier instancia vulnerable de Zimbra sin necesidad de conocer la instancia. Ambas estrategias no requieren interacción del usuario.

Para conocer más a detalle sobre las estrategias de ataque, se debe dirigir a la página oficial de los investigadores.

Parche:

Zimbra parchó la vulnerabilidad creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor de Memcache. Como la representación de cadena hexadecimal de un SHA-256 no puede contener espacios en blanco, ya no se pueden inyectar líneas nuevas. Las versiones corregidas son respectivamente 8.8.15 con nivel de parche 31.1 y 9.0.0 con nivel de parche 24.1.

Solución:

• Actualizar Zimbra 8.8.15 con parche 31.1 y 9.0.0 con parche 24.1.