电子邮件巨头Zimbra暴露严重漏洞,黑客无需密码即可登录窃取登录信息无需身份验证或用户交互,意味着黑客无需账户密码即可登录用户邮箱。漏洞编号为CVE-2022-27924,已被CNNVD收录,编号为CNNVD-202204-3913。受影响的Zimbra主要是开源和商业版本8.x和9.x。自2022年5月10日起,针对Zimbra版本ZCS9.0.0的补丁24.1和针对ZCS8.8.15的补丁31.1和补丁31.1中发布了修复程序。根据数据,Zimbra提供了一个开源协作办公套件,包括WebMail、日历、地址书籍、Web文档管理和创建。其最大的特点是采用Ajax技术开发的CS桌面应用软件风格的客户端,兼容Firefox、Safari和IE浏览器。其产品遍布全球,广泛应用于各国政府、组织、金融、教育等领域。悄悄窃取登录凭据SonarSource的研究人员报告了该漏洞,并将其描述为“未经身份验证的攻击者可以将任意内存缓存命令注入目标实例”。因此,攻击者可以通过将CRLF注入Memcached查找的用户名来进行利用。Memcached是一种免费的开源、高性能、具有分布式内存对象的缓存系统,可通过减少数据库负载来加速动态Web应用程序。因此它可以存储电子邮件帐户的键/值对,通过减少对查找服务的HTTP请求数量来提高Zimbra的性能。但是,Memcache使用更简单的基于文本的协议来进行设置和检索。Zimbra的请求路由映射(SonarSource)研究人员进一步解释说,攻击者可以通过对易受攻击的Zimbra实例的特制HTTP请求来覆盖已知用户名的IMAP路由条目。当真实用户登录时,Zimbra中的Nginx代理会将所有IMAP流量转发给攻击者,包括明文凭据。HTTP请求(上图)和发送到服务器的消息(下图)(SonarSource)Thunderbird、MicrosoftOutlook、macOS和智能手机邮件应用程序等邮件客户端通常使用存储在磁盘上的凭据将用户连接到其IMAP服务器,因此该漏洞不会需要任何用户交互才能利用。但是,当邮件客户端重新启动或需要重新连接时,它需要重新验证目标Zimbra实例。其实在日常生活中,很容易知道目标用户的邮箱地址,使用IMAP客户端也让攻击者更容易利用这个漏洞,但这里的细节并不是强制性的。另一种类型的攻击者利用允许绕过上述限制的技术来窃取任何用户的凭据,而无需与Zimbra实例进行交互和了解。这是通过“ResponseSmuggling”实现的,它利用基于Web的Zimbra客户端的替代方法。通过不断地将比工作项更多的响应注入到Memcached的共享响应流中,攻击者可以强制随机Memcached查找使用注入的响应而不是正确的响应。这是因为Zimbra在使用Memcached响应时未验证其密钥。然后,攻击者可以轻松劫持具有未知电子邮件地址的随机用户的代理连接,而无需任何交互或为受害者生成任何警报。请及时更新安全措施。2022年3月1日,SonarSource的研究人员向Zimbra提交了该漏洞信息。3月31日,Zimbra发布了第一个安全补丁,但并没有彻底解决这个问题。5月10日,软件供应商发布了ZCS9.0.0补丁24.1和ZCS8.8.15补丁31.1,通过在发送到服务器之前创建所有Memcache密钥的SHA-256哈希来解决这些问题,并敦促用户保持更新。重要的是要注意SHA-256不能包含空格,因此不能为CRLF注入创建换行符,并且补丁版本不能发生命令注入攻击。参考来源:https://www.bleepingcomputer.com/news/security/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/
