據(jù)Bleeping Computer報(bào)道,郵件巨頭Zimbra某些版本的高嚴(yán)重性漏洞的技術(shù)細(xì)節(jié)已經(jīng)浮出水面,通過利用該漏洞,黑客可以在沒有身份驗(yàn)證或用戶交互的情況下竊取登錄信息,這意味著黑客無需賬號密碼即可登錄用戶的郵箱。
該漏洞編號為CVE-2022-27924,目前已經(jīng)被收錄至CNNVD,編號為CNNVD-202204-3913,受影響的Zimbra主要是開源和商業(yè)版本8.x和9.x。自2022年5月10日起,Zimbra 版本ZCS 9.0.0 的補(bǔ)丁24.1,以及ZCS 8.8.15的補(bǔ)丁31.1 中都發(fā)布了一個(gè)修復(fù)程序。
資料顯示,Zimbra提供一套開源協(xié)同辦公套件包括WebMail,日歷,通信錄,Web文檔管理和創(chuàng)作。它最大的特色在于其采用Ajax技術(shù)模仿CS桌面應(yīng)用軟件的風(fēng)格開發(fā)的客戶端兼容Firefox,Safari和IE瀏覽器。其產(chǎn)品遍布全球,在各國/地區(qū)的政府、組織、金融和教育部門廣泛使用。
悄無聲息竊取登錄憑證
SonarSource公司的研究人員報(bào)告了該漏洞,并對其進(jìn)行描述,“未經(jīng)身份驗(yàn)證的攻擊者可以將任意 memcache 命令注入目標(biāo)實(shí)例”。因此,攻擊者可以通過將CRLF注入Memcached查找的用戶名來進(jìn)行利用。
Memcached是一個(gè)免費(fèi)開源的、高性能的、具有分布式內(nèi)存對象的緩存系統(tǒng),通過減輕數(shù)據(jù)庫負(fù)載加速動態(tài)Web應(yīng)用。因此它可以存儲電子郵件帳戶的鍵/值對,通過減少對查找服務(wù)的 HTTP 請求數(shù)量來提高 Zimbra 的性能。但是,Memcache使用的是比較簡單的基于文本的協(xié)議進(jìn)行設(shè)置和檢索。
Zimbra 的請求路由圖 (SonarSource)
研究人員進(jìn)一步解釋,攻擊者可以通過對易受攻擊的Zimbra實(shí)例的特制HTTP請求,來覆蓋已知用戶名的IMAP路由條目。而當(dāng)真實(shí)用戶登錄時(shí),Zimbra中的Nginx代理會將所有 IMAP 流量轉(zhuǎn)發(fā)給攻擊者,包括純文本憑據(jù)。
HTTP 請求(上)和發(fā)送到服務(wù)器的消息(下)(SonarSource)
郵件客戶端(如Thunderbird、Microsoft Outlook、macOS等郵件應(yīng)用程序和智能手機(jī)郵件應(yīng)用程序)通常會將用戶連接到其IMAP服務(wù)器的憑據(jù)存儲在磁盤上,因此該漏洞在利用時(shí)不需要任何用戶交互。但是,當(dāng)郵件客戶端重新啟動或需要重新連接時(shí),就需要重新對目標(biāo) Zimbra 實(shí)例進(jìn)行身份驗(yàn)證。
事實(shí)上,在日常生活中,想要知道目標(biāo)用戶的電子郵件地址是一件非常容易的事情,而使用 IMAP 客戶端也讓攻擊者可以更容易地利用該漏洞,但是這里面的詳細(xì)信息并非強(qiáng)制性。另外一種攻擊者則是利用技術(shù)允許繞過上述限制,在沒有交互且不了解 Zimbra 實(shí)例的情況下竊取任何用戶的憑據(jù)。
這是通過“Response Smuggling”來實(shí)現(xiàn),利用了基于 Web 的 Zimbra 客戶端的替代途徑。通過不斷向 Memcached 的共享響應(yīng)流中注入比工作項(xiàng)更多的響應(yīng),攻擊者可以強(qiáng)制隨機(jī) Memcached 查找使用注入的響應(yīng)而不是正確的響應(yīng)。這是因?yàn)?Zimbra 在使用 Memcached 響應(yīng)時(shí)沒有驗(yàn)證它的密鑰。
那么,攻擊者就可以輕松劫持電子郵件地址未知的隨機(jī)用戶的代理連接,仍然不需要任何交互或?yàn)槭芎φ呱扇魏尉瘓?bào)。
請及時(shí)更新安全措施
2022年3月1日,SonarSource公司研究人員就向Zimbra提交了這一漏洞信息,3月31日,Zimbra公司發(fā)布了第一個(gè)安全補(bǔ)丁,但是沒有完全解決這一問題。5月10日,軟件供應(yīng)商發(fā)布了ZCS 9.0.0 補(bǔ)丁 24.1和ZCS 8.8.15 補(bǔ)丁 31.1解決了這些問題,方法是在發(fā)送到服務(wù)器之前創(chuàng)建所有 Memcache 密鑰的 SHA-256 哈希,并敦促用戶及時(shí)進(jìn)行更新。
需要注意的是,SHA-256 不能包含空格,因此不能為 CRLF 注入創(chuàng)建新行,并且補(bǔ)丁版本不會發(fā)生命令注入攻擊。
參考來源:https://www.bleepingcomputer.com/news/security/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/
