Kerentanan Email Zimbra Baru Dapat Membiarkan Penyerang Mencuri Kredensial Login Anda

  • Bagikan
Zimbra Email Vulnerability

Beritaini.top Kerentanan Email Zimbra Baru Dapat Membiarkan Penyerang Mencuri Kredensial Login Anda

Kerentanan Email Zimbra

Kerentanan tingkat tinggi baru telah diungkapkan di suite email Zimbra yang, jika berhasil dieksploitasi, memungkinkan penyerang yang tidak diautentikasi untuk mencuri kata sandi teks jelas pengguna tanpa interaksi pengguna apa pun.

“Dengan konsekuensi akses ke kotak surat korban, penyerang berpotensi meningkatkan akses mereka ke organisasi yang ditargetkan dan mendapatkan akses ke berbagai layanan internal dan mencuri informasi yang sangat sensitif,” SonarSource dikatakan dalam laporan yang dibagikan kepada The Hacker News.

Dilacak sebagai CVE-2022-27924 (Skor CVSS: 7,5), masalah ini ditandai sebagai kasus “Keracunan memcached dengan permintaan yang tidak diautentikasi,” yang mengarah ke skenario di mana musuh dapat menyuntikkan perintah jahat dan menyedot informasi sensitif.

Keamanan cyber

Ini dimungkinkan dengan meracuni IMAP merutekan entri cache di server Memcached yang digunakan untuk mencari pengguna Zimbra dan meneruskan permintaan HTTP mereka ke layanan backend yang sesuai.

Mengingat bahwa Memcached mem-parsing permintaan masuk baris demi baris, kerentanan memungkinkan penyerang mengirim permintaan pencarian yang dibuat khusus ke server yang berisi karakter CRLFmenyebabkan server menjalankan perintah yang tidak diinginkan.

Cacat itu ada karena “karakter baris baru (\r\n) tidak lolos dalam input pengguna yang tidak tepercaya,” para peneliti menjelaskan. “Cacat kode ini pada akhirnya memungkinkan penyerang mencuri kredensial cleartext dari pengguna instance Zimbra yang ditargetkan.”

Berbekal kemampuan ini, penyerang selanjutnya dapat merusak cache untuk menimpa entri sedemikian rupa sehingga meneruskan semua lalu lintas IMAP ke server yang dikendalikan penyerang, termasuk kredensial pengguna yang ditargetkan dalam cleartext.

Keamanan cyber

Yang mengatakan, serangan itu mengandaikan musuh sudah memiliki alamat email korban sehingga dapat meracuni entri cache dan mereka menggunakan klien IMAP untuk mengambil pesan email dari server email.

“Biasanya, sebuah organisasi menggunakan pola alamat email untuk anggotanya, seperti misalnya {firstname}. {lastname}@example.com,” kata para peneliti. “Daftar alamat email dapat diperoleh dari sumber OSINT seperti LinkedIn.”

Namun, seorang aktor ancaman dapat mengatasi pembatasan ini dengan memanfaatkan teknik yang disebut penyelundupan tanggapanyang memerlukan “penyelundupan” tanggapan HTTP tidak sah yang menyalahgunakan kelemahan injeksi CRLF untuk meneruskan lalu lintas IMAP ke server jahat, sehingga mencuri kredensial dari pengguna tanpa mengetahui alamat email mereka sebelumnya.

“Idenya adalah dengan terus menyuntikkan lebih banyak respons daripada item pekerjaan ke dalam aliran respons bersama Memcached, kami dapat memaksa pencarian Memcached acak untuk menggunakan respons yang disuntikkan alih-alih respons yang benar,” para peneliti menjelaskan. “Ini berfungsi karena Zimbra tidak memvalidasi kunci respons Memcached saat menggunakannya.”

Setelah pengungkapan yang bertanggung jawab pada 11 Maret 2022, tambalan untuk sepenuhnya menutup lubang keamanan adalah dikirim oleh Zimbra pada 10 Mei 2022, dalam versi 8.8.15 P31.1 dan 9.0.0 P24.1.

Temuan itu muncul beberapa bulan setelah perusahaan keamanan siber Volexity mengungkapkan kampanye spionase yang dijuluki EmailThief yang mempersenjatai kerentanan zero-day di platform email untuk menargetkan pemerintah Eropa dan entitas media di alam liar.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.