开源邮件平台Zimbra 出现新漏洞，用户登录凭据可被盗

研究员在报告中指出，“通过对受害者邮箱后续的访问权限，攻击者可能提升对目标组织机构的访问权限，并获得对多种内部服务的访问权限，窃取高度敏感信息。”

CVE-2022-27924的CVSS评分为7.5，是“未认证请求的缓存投毒”情况，可导致攻击者注入恶意命令并嗅探敏感信息。通过投毒 Memcached 服务器中的 IMAP 路由缓存条目即可实现这一目的。该服务器用于查询 Zimbra 用户并将其HTTP请求推送给合适的后端服务。

鉴于 Memcached 逐行解析进站请求，因此该漏洞可导致攻击者将特殊构造的查询请求发送给包含 CRLF 字符的服务器，导致该服务器执行非计划命令。

该缺陷存在的原因是因为“换行符未在不受信任的用户输入中逃逸。该代码缺陷最终可导致攻击者从目标 Zimbra 实例中窃取用户的明文凭据。”攻击者可利用该漏洞最终损坏缓存，覆写条目，将所有的IMAP 流量转向受攻击者控制的服务器，包括目标用户的明文凭据。

尽管如此，该攻击假定攻击者已经拥有受害者的邮件地址，因此能够投毒缓存条目，并使用IMAP 客户端检索邮件服务器中的邮件信息。研究人员解释称，“一般而言，组织机构使用邮件地址模式如 {名}.{姓氏}@example.com。可从开源情报来源如LinkedIn 等平台获得邮件地址清单。”

然而，威胁行动者可利用“响应走私”技术绕过这些限制条件，该技术需要“走私”滥用该CRLF注入缺陷的越权HTTP响应，将IMAP流量转向恶意服务器，从而在不知道邮件地址的情况下窃取用户凭据。研究人员解释称，“通过持续注入更多的响应，将项目进入Memcached共享响应流中，强制随机 Memached 查询使用被注入的响应而非正确的响应。由于Zimbra 在使用时并未验证 Memcached 响应的密钥，因此它会起作用。”

研究员在2022年3月11日将漏洞报告给Zimbra，后者在2022年5月10日修复该漏洞，发布了新版本8.8.15 P31.1和 9.0.0 P24.1。

Volexity 公司披露了 EmialThief 间谍活动后，研究员公开了这项研究结果。该间谍攻击活动利用Zimbra 平台上的0day 在野攻击欧洲政府和媒体实体机构。