Une vulnérabilité zero-day dans Horde Webmail permet aux attaquants de prendre le contrôle du serveur Web et de pivoter pour compromettre les autres services d’une organisation, selon des chercheurs en sécurité.
Documenté par la société de sécurité suisse Sonar (anciennement SonarSource), l’abus de la faille repose sur un utilisateur authentifié de l’instance ciblée ouvrant un e-mail malveillant envoyé par l’attaquant.
S’ils le font, ils déclenchent par inadvertance l’exploit en exécutant du code arbitraire sur le serveur sous-jacent.
Abandonware
Un correctif pour la vulnérabilité d’exécution de code à distance (RCE) dans la plate-forme open source peut ne jamais apparaître étant donné que la version actuelle, qui contient la faille, a été signalé par les mainteneurs en tant que version finale.
Les chercheurs de Sonar ont donc conseillé aux utilisateurs d’abandonner Horde Webmail.
Johannes Dahse, responsable de la R&D chez Sonar, a déclaré qu’une recherche Shodan avait révélé plus de 3 000 instances exposées de la Horde dans le monde.
« De plus, il est intégré à cPanel », a-t-il déclaré au Daily Swig. « Comme les logiciels de messagerie Web n’ont pas besoin d’être exposés à Internet, nous pensons qu’il existe encore plus d’instances internes. Ces instances peuvent toujours être exploitées tant que le serveur de messagerie d’une organisation est exposé.
Horde Webmail, qui fait partie du groupware Horde, fournit un client de messagerie basé sur un navigateur et un serveur qui agit comme un proxy pour le serveur de messagerie de l’organisation.
En compromettant les serveurs de messagerie Web, les attaquants « peuvent intercepter tous les e-mails envoyés et reçus, accéder aux liens de réinitialisation de mot de passe, aux documents sensibles, usurper l’identité du personnel et voler toutes les informations d’identification des utilisateurs se connectant au service de messagerie Web », selon un Sonar. article de blog par Simon Scannell, chercheur en vulnérabilité chez Sonar.
CSRF
La vulnérabilité Horde Webmail (CVE-2022-30287) peut être exploitée avec un seul OBTENIR request, qui met en jeu la falsification de requête intersite (CSRF). « En conséquence, un attaquant peut créer un e-mail malveillant et inclure une image externe qui, une fois rendue, exploite la vulnérabilité CSRF », a expliqué Scannell.
Pire encore, les informations d’identification en texte clair de la victime sont également divulguées à l’attaquant, donnant potentiellement à l’adversaire l’accès à des services supplémentaires utilisés par l’organisation cible, comme le montre la vidéo de preuve de concept ci-dessous.
La vulnérabilité existe dans la configuration par défaut de Horde Webmail et se prête potentiellement à une exploitation massive, avertit Sonar.
Il a alerté les mainteneurs du problème le 2 février et a révélé la faille aujourd’hui (1er juin), après avoir informé les mainteneurs le 3 mai que le délai de divulgation de 90 jours était passé.
Néanmoins, le 2 mars, Horde a publié un correctif pour un problème distinct signalé précédemment par Sonar et a reconnu le dernier rapport de vulnérabilité, selon Sonar.
Leçon salutaire
Les chercheurs pointent vers une leçon offerte par la vulnérabilité, notant qu’elle existe dans le code PHP, qui utilise généralement des types dynamiques.
« Dans ce cas, une branche sensible à la sécurité a été saisie si une variable contrôlée par l’utilisateur était du type tableau », a déclaré Scannell. « Nous déconseillons fortement aux développeurs de prendre des décisions de sécurité basées sur le type d’une variable, car il est souvent facile de manquer des bizarreries spécifiques à la langue. »
L’année dernière, Sonar a documenté un exploit enchaîné dans une autre plate-forme de messagerie Web open source, Zimbra, qui a permis à des attaquants non authentifiés de prendre le contrôle des serveurs Zimbra.