Neue Zimbra-E-Mail-Schwachstelle kann Angreifern ermöglichen, Ihre Anmeldedaten zu stehlen

  • In der Zimbra-E-Mail-Suite wurde eine neue, hochgradig gefährliche Schwachstelle entdeckt, die es einem nicht authentifizierten Angreifer ermöglicht, die Klartext-Passwörter von Benutzern ohne jegliche Benutzerinteraktion zu stehlen, wenn sie erfolgreich ausgenutzt wird.

    „Mit dem daraus resultierenden Zugriff auf die Mailboxen der Opfer können Angreifer ihren Zugang zu den Zielorganisationen ausweiten und sich Zugang zu verschiedenen internen Diensten verschaffen und hochsensible Informationen stehlen“, so SonarSource in einem Bericht, der The Hacker News vorliegt.

    Das als CVE-2022-27924 (CVSS-Score: 7.5) verfolgte Problem wurde als „Memcached-Poisoning mit unauthentifizierter Anfrage“ beschrieben, was zu einem Szenario führt, in dem ein Angreifer bösartige Befehle einschleusen und vertrauliche Informationen abgreifen kann.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjaBbYTALewJvxPx8cnzv0FMFvygJ4ym5US2q-Uxw_N9KSMl8z0Z7pPOeXOEHgnJ9u00oLe7QZR55XMcwv60hQ_dIuT9MTSCTeu-C3cUe-RgpBF3_hTmoXh7ESgmtUaVloM9dS5jXLtkOLVeYSBrepZsVYuf3lxIAlCR4TsZhB-hFm_HGHwjkDsk9teXQ/s1600/Jira-ads.png]

    Dies wird durch das Vergiften der IMAP-Routen-Cache-Einträge im Memcached-Server ermöglicht, der verwendet wird, um Zimbra-Benutzer zu suchen und ihre HTTP-Anfragen an die entsprechenden Backend-Dienste weiterzuleiten.

    Da Memcached eingehende Anfragen zeilenweise parst, erlaubt die Schwachstelle einem Angreifer, eine speziell gestaltete Suchanfrage an den Server zu senden, die CRLF-Zeichen enthält, was den Server veranlasst, unbeabsichtigte Befehle auszuführen.

    Die Schwachstelle besteht, weil „Zeilenumbruchzeichen (\r\n) in nicht vertrauenswürdigen Benutzereingaben nicht escaped werden“, so die Forscher. „Dieser Code-Fehler ermöglicht es Angreifern, die Anmeldeinformationen von Benutzern gezielter Zimbra-Instanzen im Klartext zu stehlen.“

    Mit dieser Fähigkeit kann der Angreifer anschließend den Cache korrumpieren, um einen Eintrag so zu überschreiben, dass er den gesamten IMAP-Verkehr an einen vom Angreifer kontrollierten Server weiterleitet, einschließlich der Anmeldedaten des Zielbenutzers im Klartext.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Der Angriff setzt allerdings voraus, dass der Angreifer bereits im Besitz der E-Mail-Adressen der Opfer ist, um die Cache-Einträge vergiften zu können, und dass diese einen IMAP-Client verwenden, um E-Mails von einem Mail-Server abzurufen.

    „Normalerweise verwendet eine Organisation ein Muster für die E-Mail-Adressen ihrer Mitglieder, wie z. B. {Vorname}. {Nachname}@example.com“, so die Forscher. „Eine Liste von E-Mail-Adressen könnte aus OSINT-Quellen wie LinkedIn bezogen werden.

    Dabei werden nicht autorisierte HTTP-Antworten „eingeschmuggelt“, die den CRLF-Injection-Fehler ausnutzen, um den IMAP-Datenverkehr an einen betrügerischen Server weiterzuleiten und so die Anmeldedaten von Benutzern zu stehlen, ohne dass diese ihre E-Mail-Adressen kennen.

    „Die Idee ist, dass wir durch die kontinuierliche Einspeisung von mehr Antworten als Arbeitselemente in die gemeinsamen Antwortströme von Memcached zufällige Memcached-Lookups dazu zwingen können, eingespeiste Antworten anstelle der korrekten Antwort zu verwenden“, erklären die Forscher. „Das funktioniert, weil Zimbra den Schlüssel der Memcached-Antwort nicht validiert, wenn es sie konsumiert.“

    Nach der Bekanntgabe der Verantwortlichen am 11. März 2022 wurden am 10. Mai 2022 Patches zur vollständigen Schließung der Sicherheitslücke von Zimbra in den Versionen 8.8.15 P31.1 und 9.0.0 P24.1 ausgeliefert.

    Die Ergebnisse kommen Monate, nachdem das Cybersicherheitsunternehmen Volexity eine Spionagekampagne mit dem Namen EmailThief aufgedeckt hat, bei der eine Zero-Day-Schwachstelle in der E-Mail-Plattform ausgenutzt wurde, um europäische Regierungs- und Medieneinrichtungen in freier Wildbahn anzugreifen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com