Une vulnérabilité d’injection memcached dans la plate-forme de messagerie Web d’entreprise Zimbra pourrait permettre aux attaquants de voler les identifiants de connexion sans interaction de l’utilisateur, ont révélé des chercheurs en sécurité.

Zimbra, une alternative open source aux serveurs de messagerie et aux services de collaboration, y compris Microsoft Exchange, est utilisée par plus de 200 000 entreprises et plus de 1 000 institutions gouvernementales et financières dans le monde, selon son développeur, Synacor.

Simon Scannell, chercheur en vulnérabilités à la société de sécurité suisse Sonar (anciennement SonarSource), a documenté comment des attaquants non authentifiés pourraient empoisonner le cache d’une victime sans méfiance.

La vulnérabilité permet de voler les informations d’identification en texte clair de l’instance Zimbra, lorsque le client de messagerie se connecte au serveur Zimbra, comme le montre la vidéo de preuve de concept suivante :

Parce que les caractères de nouvelle ligne (rn) n’étaient pas échappés dans une entrée utilisateur non fiable, les attaquants pouvaient injecter des commandes memcached arbitraires dans une instance ciblée et déclencher un écrasement d’entrées arbitraires mises en cache.

Les serveurs Memcached stockent des paires clé/valeur qui peuvent être définies et récupérées avec un simple protocole textuel et interprètent les données entrantes ligne par ligne.

Risque d’escalade

Les utilisateurs de Zimbra ont été invités à mettre à niveau leurs installations immédiatement, compte tenu de l’impact potentiel d’une exploitation réussie.

La gravité de la vulnérabilité (CVE-2022-27924) est répertorié comme « élevé » (CVSS 7.5) plutôt que « critique », mais une fois qu’une boîte aux lettres est piratée, « les attaquants peuvent potentiellement intensifier leur accès aux organisations ciblées et accéder à divers services internes et voler des informations hautement sensibles », a averti Scannell. .

« Avec l’accès au courrier, les attaquants peuvent réinitialiser les mots de passe, se faire passer pour leurs victimes et lire en silence toutes les conversations privées au sein de l’entreprise ciblée. »

Injections continues

Les attaquants pourraient empoisonner les entrées du cache de routage IMAP (Internet Message Access Protocol) des victimes en vérifiant l’adresse e-mail de la victime – une tâche assez facile avec les méthodes OSINT – mais les chercheurs ont également déployé avec succès la contrebande de réponses pour voler les informations d’identification en texte clair sans obtenir ces informations au préalable.

« En injectant continuellement plus de réponses qu’il n’y a d’éléments de travail dans les flux de réponses partagés de Memcached, nous pouvons forcer les recherches Memcached aléatoires à utiliser des réponses injectées au lieu de la réponse correcte », a expliqué Scannell.

« Cela fonctionne car Zimbra n’a pas validé la clé de la réponse Memcached lors de sa consommation. En exploitant ce comportement, nous pouvons détourner la connexion proxy d’utilisateurs aléatoires se connectant à notre serveur IMAP sans avoir à connaître leurs adresses e-mail.

Tenir la nouvelle ligne

La faille affecte à la fois les versions open source et commerciales de Zimbra dans leurs configurations par défaut.

Les vulnérabilités ont été signalées le 11 mars et un correctif initial, publié le 31 mars, n’a pas correctement résolu le problème. Les versions entièrement corrigées sont 8.8.15 avec le niveau de correctif 31.1 et 9.0.0 avec le niveau de correctif 24.1.

« Zimbra a corrigé la vulnérabilité en créant un hachage SHA-256 de toutes les clés Memcache avant de les envoyer au serveur Memcache », a déclaré Scannell. « Comme la représentation en chaîne hexadécimale d’un SHA-256 ne peut pas contenir d’espaces, aucune nouvelle ligne ne peut plus être injectée. »

Sonar a révélé la faille le 14 juin.

Scannell a conclu son article en observant que les failles de script intersite (XSS) et d’injection SQL résultant d’un manque d’échappement d’entrée « sont bien connues et documentées depuis des décennies », mais que « d’autres vulnérabilités d’injection peuvent survenir qui sont moins connues et peut avoir un impact critique ».

En conséquence, Scannell recommande aux développeurs « d’être conscients des caractères spéciaux qui doivent être échappés lorsqu’ils traitent avec une technologie où il existe moins de documentation et de recherche sur les vulnérabilités potentielles ».

La vulnérabilité est apparue quatre mois après que Zimbra a publié un correctif pour une faille XSS dont l’abus a sous-tendu une série de campagnes sophistiquées de harponnage liées à un groupe de menaces chinois jusque-là inconnu.

Sonar a également découvert une paire de vulnérabilités Zimbra l’année dernière qui, si elles étaient combinées, permettaient à des attaquants non authentifiés de prendre le contrôle des serveurs Zimbra.

EN RELATION Horde Webmail contient un bogue RCE zero-day sans correctif à l’horizon