Zimbra E-posta Kusuru, Saldırganların Memcache Enjeksiyonu Yoluyla Kimlik Bilgilerini Çalmasına İzin Veriyor

Önde gelen e-posta istemci sistemlerinden biri olan Zimbra'nın kritik bir güvenlik açığına sahip olduğu açıklandı. Bu kritik güvenlik açığından başarılı bir şekilde yararlanılması, bir saldırganın kullanıcıların net metin parolalarını hiçbir şeye müdahale etmeden ele geçirmesine olanak verebilir.

Kullanıcılar, dünya çapında 200.000'den fazla işletme, üniversite, finans kuruluşu ve devlet kurumu tarafından kullanılan Zimbra e-posta hesaplarında oturum açarak Zimbra hesaplarında özel e-postaları okuyabilir ve gönderebilir.

Sonar güvenlik firmasındaki siber güvenlik analistlerinin söyledikleri:

"Sonuç olarak kurbanların posta kutularına erişimle, saldırganlar potansiyel olarak hedeflenen kuruluşlara erişimlerini artırabilir ve çeşitli dahili hizmetlere erişebilir ve son derece hassas bilgileri çalabilir. Posta erişimiyle, saldırganlar şifrelerini sıfırlayabilir, kurbanlarının kimliğine bürünebilir ve hedeflenen şirketteki tüm özel konuşmaları sessizce okuyabilir."

Kusur Profili

• CVE KİMLİĞİ: CEVE-2022-27924
• Açıklama: Zimbra İşbirliği (diğer adıyla ZCS) 8.8.15 ve 9.0, kimliği doğrulanmamış bir saldırganın hedeflenen bir örneğe rastgele memcache komutları eklemesine olanak tanır. Bu memcache komutlarının çıkış yolu açılmaz hale gelir ve rasgele önbelleğe alınmış girdilerin üzerine yazılmasına neden olur.
• Taban Puan: 7,5
• Önem derecesi: YÜKSEK

Etkisi

Tehdit aktörleri, hassas bilgileri çalmak ve trafiği engellemek için kötü amaçlı komutlar enjekte edebilmek için bu güvenlik açığından yararlanabilir.

Zimbra kullanıcılarını arayan ve HTTP önerilerini zehirlenen ilgili arka uç hizmetlerine ileten Memcached sunucu girişleri. Bu girişler Zimbra rotalarını aramak için kullanıldığından bu mümkündür.

CRLF karakterleri içeren özel hazırlanmış bir arama isteği, bir saldırganın bu güvenlik açığından yararlanmasına ve sunucuya özel hazırlanmış bir istek göndermesine olanak verebilir.

Bunun temel nedeni, Memcached'in yaptığı gelen isteklerin satır satır ayrıştırılmasıdır. Bu, sunucu tarafından istenmeyen komutların yürütülmesine neden olabilir.

Bu özelliğe sahip bir saldırgan, girdileri silmek ve veritabanını bozmak için önbelleği bozabilir. Bunun gibi, saldırgan tüm IMAP trafiğini ele geçirebilir ve hedeflenen kullanıcı için düz metin kimlik bilgilerini alabilir.

Zimbra, SHA256 karmasını kullanarak bu güvenlik açığı için bir düzeltme eki hazırladı. SHA-256 yalnızca onaltılık dizelerle temsil edilebilir; bu nedenle, algoritmanın onaltılık dize gösterimine yeni satırlar eklemek mümkün değildir.

Burada düzeltilmiş sürümlerden bahsettik:

• 8.8.15 Yama seviyesi 31.1 ile
• 9.0.0 Yama seviyesi 24.1 ile

Dahası, siber güvenlik şirketi Volexity'den araştırmacılar, bu araştırmanın yayınlanmasından aylar önce E-posta Hırsızı casusluk kampanyası hakkında rapor verdiler.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.