Aviso de seguridad
Nivel de peligrosidad: Crítico
Descripción
Se ha revelado una nueva vulnerabilidad de criticidad alta en el paquete de correo electrónico de Zimbra que, si se explota con éxito, permite que un atacante no autenticado robe contraseñas de texto sin cifrar y sin ninguna interacción del usuario.
Registrado como CVE-2022-27924 (CVSS: 7,5), el problema se ha caracterizado como un caso de "envenenamiento de Memcached con solicitud no autenticada", lo que lleva a un escenario en el que un atacante puede inyectar comandos maliciosos y desviar información confidencial. Con el consiguiente acceso a los buzones de correo de las víctimas, los atacantes pueden escalar potencialmente su acceso a organizaciones objetivo, obtener acceso a varios servicios internos y robar información altamente confidencial.
Recursos afectados
Las fallas de código están presentes en las versiones 8.8.15 y 9.0 de Zimbra, afectando tanto a las versiones comerciales como de código abierto. Los defectos del código afectan al proxy inverso de Zimbra y pueden ser explotados con configuraciones predeterminadas por un atacante no autenticado.
Existen dos estrategias que los atacantes podrían usar para aprovechar esta vulnerabilidad:
- La primera estrategia requiere que el atacante conozca la dirección de correo electrónico de las víctimas para poder robar sus credenciales de inicio de sesión. Por lo general, una organización usa un patrón para las direcciones de correo electrónico de sus miembros, como {firstname}.{lastname}@example.com. Se puede obtener una lista de direcciones de correo electrónico de fuentes OSINT como LinkedIn.
- La segunda técnica de explotación, utiliza «Response Smuggling» para eludir las restricciones impuestas por la primera estrategia y permite que un atacante robe credenciales de texto sin cifrar de cualquier instancia vulnerable de Zimbra sin necesidad de conocer la instancia. Ambas estrategias no requieren interacción del usuario.
Solución
Zimbra parchó la vulnerabilidad creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor de Memcache. Como la representación de cadena hexadecimal de un SHA-256 no puede contener espacios en blanco, ya no se pueden inyectar líneas nuevas. Las versiones corregidas son respectivamente 8.8.15 con nivel de parche 31.1 y 9.0.0 con nivel de parche 24.1.
Recomendaciones
Actualizar Zimbra 8.8.15 con parche 31.1 y 9.0.0 con parche 24.1.
Referencias
Nueva vulnerabilidad de correo electrónico de Zimbra