-
09/04/2020
-
85
-
554 bài viết
Cẩn trọng với lỗ hổng email Zimbra cho phép hacker đánh cắp thông tin đăng nhập
Một lỗ hổng có mức độ nghiêm trọng cao mới đã được tiết lộ trong bộ email Zimbra. Khai thác thành công lỗ hổng, kẻ tấn công có thể đánh cắp mật khẩu dưới dạng bản rõ của người dùng mà không cần bất kỳ tương tác nào.
SonarSource cho biết trong một báo cáo: "Thông qua truy cập vào hộp thư của nạn nhân, kẻ tấn công có thể leo thang đặc quyền để truy cập vào các tổ chức mục tiêu và giành quyền thâm nhập vào các dịch vụ nội bộ khác nhau, từ đó đánh cắp thông tin nhạy cảm hơn".
Lỗ hổng được gán mã định danh CVE-2022-27924 (điểm CVSS: 7,5) và được mô tả là lỗi "Memcached poisoning với yêu cầu chưa được xác thực", cho phép hacker đưa ra các lệnh độc hại và dần dần lấy đi các thông tin nhạy cảm.
Điều này có thể thực hiện bằng cách lây nhiễm mã độc các chỉ mục định tuyến bộ đệm IMAP trong máy chủ Memcached, vốn được sử dụng để tra cứu người dùng Zimbra và chuyển tiếp các yêu cầu HTTP đến các dịch vụ backend phù hợp.
Do bộ Memcached phân giải các yêu cầu đến (incoming request) từng dòng một, lỗ hổng cho phép kẻ tấn công gửi một yêu cầu tra cứu tự tạo đặc biệt tới máy chủ chứa các ký tự CRLF, khiến máy chủ thực hiện các lệnh không mong muốn.
Lỗ hổng tồn tại là do "các ký tự dòng mới (\r\n) không được escape trong dữ liệu kẻ tấn công gửi lên", các nhà nghiên cứu giải thích. "Cuối cùng, lỗ hổng cho phép tin tặc đánh cắp thông tin đăng nhập dưới dạng bản rõ từ người dùng của các phiên bản Zimbra bị nhắm mục tiêu".
Từ đó, hacker có thể làm hỏng bộ nhớ cache để ghi đè một entry sao cho nó chuyển tiếp tất cả lưu lượng IMAP tới máy chủ do chúng kiểm soát, bao gồm thông tin đăng nhập của người dùng.
Điều này dẫn tới các cuộc tấn công giả định khi hacker đã sở hữu địa chỉ email của nạn nhân để có thể đầu độc các mục trong bộ nhớ cache và chúng sử dụng một ứng dụng khách IMAP để lấy các email từ một mail server.
Các nhà nghiên cứu cho biết: "Thông thường, một tổ chức sử dụng một định dạng sẵn cho email của thành viên trong tổ chức ví dụ như: {tên}.{họ}@example.com. Danh sách các địa chỉ email có thể được lấy từ các nguồn OSINT như LinkedIn”.
Tuy nhiên, tin tặc có thể vượt qua những hạn chế này bằng cách khai thác một kỹ thuật được gọi là response smuggling, đòi hỏi "nhập lậu" phản hồi HTTP trái phép (lợi dụng lỗ hổng chèn CRLF) để chuyển tiếp lưu lượng IMAP đến máy chủ giả mạo, từ đó lấy cắp thông tin xác thực của người dùng mà không cần biết trước địa chỉ email của họ.
Các nhà nghiên cứu giải thích: "Bằng cách liên tục đưa nhiều phản hồi hơn số mục công việc vào các luồng phản hồi được chia sẻ của Memcached, chúng tôi có thể buộc các tra cứu Memcached ngẫu nhiên sử dụng các phản hồi đã chèn thay vì phản hồi chính xác. Điều này xảy ra do Zimbra đã không xác thực khóa của phản hồi Memcached khi sử dụng nó”.
Sau khi tiết lộ lỗ hổng vào ngày 11 tháng 3 năm 2022, các bản vá để xử lý hoàn toàn lỗ hổng trong email đã được Zimbra phát hành vào ngày 10 tháng 5 năm 2022, trong các phiên bản 8.8.15 P31.1 và 9.0.0 P24.1.
Các phát hiện được đưa ra vài tháng sau khi công ty an ninh mạng Volexity tiết lộ một chiến dịch gián điệp có tên EmailThief đã vũ khí hóa lỗ hổng zero-day trong nền tảng email để nhắm mục tiêu vào các tổ chức truyền thông và chính phủ châu Âu.
SonarSource cho biết trong một báo cáo: "Thông qua truy cập vào hộp thư của nạn nhân, kẻ tấn công có thể leo thang đặc quyền để truy cập vào các tổ chức mục tiêu và giành quyền thâm nhập vào các dịch vụ nội bộ khác nhau, từ đó đánh cắp thông tin nhạy cảm hơn".
Lỗ hổng được gán mã định danh CVE-2022-27924 (điểm CVSS: 7,5) và được mô tả là lỗi "Memcached poisoning với yêu cầu chưa được xác thực", cho phép hacker đưa ra các lệnh độc hại và dần dần lấy đi các thông tin nhạy cảm.
Điều này có thể thực hiện bằng cách lây nhiễm mã độc các chỉ mục định tuyến bộ đệm IMAP trong máy chủ Memcached, vốn được sử dụng để tra cứu người dùng Zimbra và chuyển tiếp các yêu cầu HTTP đến các dịch vụ backend phù hợp.
Do bộ Memcached phân giải các yêu cầu đến (incoming request) từng dòng một, lỗ hổng cho phép kẻ tấn công gửi một yêu cầu tra cứu tự tạo đặc biệt tới máy chủ chứa các ký tự CRLF, khiến máy chủ thực hiện các lệnh không mong muốn.
Lỗ hổng tồn tại là do "các ký tự dòng mới (\r\n) không được escape trong dữ liệu kẻ tấn công gửi lên", các nhà nghiên cứu giải thích. "Cuối cùng, lỗ hổng cho phép tin tặc đánh cắp thông tin đăng nhập dưới dạng bản rõ từ người dùng của các phiên bản Zimbra bị nhắm mục tiêu".
Từ đó, hacker có thể làm hỏng bộ nhớ cache để ghi đè một entry sao cho nó chuyển tiếp tất cả lưu lượng IMAP tới máy chủ do chúng kiểm soát, bao gồm thông tin đăng nhập của người dùng.
Điều này dẫn tới các cuộc tấn công giả định khi hacker đã sở hữu địa chỉ email của nạn nhân để có thể đầu độc các mục trong bộ nhớ cache và chúng sử dụng một ứng dụng khách IMAP để lấy các email từ một mail server.
Các nhà nghiên cứu cho biết: "Thông thường, một tổ chức sử dụng một định dạng sẵn cho email của thành viên trong tổ chức ví dụ như: {tên}.{họ}@example.com. Danh sách các địa chỉ email có thể được lấy từ các nguồn OSINT như LinkedIn”.
Tuy nhiên, tin tặc có thể vượt qua những hạn chế này bằng cách khai thác một kỹ thuật được gọi là response smuggling, đòi hỏi "nhập lậu" phản hồi HTTP trái phép (lợi dụng lỗ hổng chèn CRLF) để chuyển tiếp lưu lượng IMAP đến máy chủ giả mạo, từ đó lấy cắp thông tin xác thực của người dùng mà không cần biết trước địa chỉ email của họ.
Các nhà nghiên cứu giải thích: "Bằng cách liên tục đưa nhiều phản hồi hơn số mục công việc vào các luồng phản hồi được chia sẻ của Memcached, chúng tôi có thể buộc các tra cứu Memcached ngẫu nhiên sử dụng các phản hồi đã chèn thay vì phản hồi chính xác. Điều này xảy ra do Zimbra đã không xác thực khóa của phản hồi Memcached khi sử dụng nó”.
Sau khi tiết lộ lỗ hổng vào ngày 11 tháng 3 năm 2022, các bản vá để xử lý hoàn toàn lỗ hổng trong email đã được Zimbra phát hành vào ngày 10 tháng 5 năm 2022, trong các phiên bản 8.8.15 P31.1 và 9.0.0 P24.1.
Các phát hiện được đưa ra vài tháng sau khi công ty an ninh mạng Volexity tiết lộ một chiến dịch gián điệp có tên EmailThief đã vũ khí hóa lỗ hổng zero-day trong nền tảng email để nhắm mục tiêu vào các tổ chức truyền thông và chính phủ châu Âu.
Nguồn: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: