據(jù)Bleeping Computer報(bào)道，郵件巨頭Zimbra某些版本的高嚴(yán)重性漏洞的技術(shù)細(xì)節(jié)已經(jīng)浮出水面，通過(guò)利用該漏洞，黑客可以在沒(méi)有身份驗(yàn)證或用戶(hù)交互的情況下竊取登錄信息，這意味著黑客無(wú)需賬號(hào)密碼即可登錄用戶(hù)的郵箱。

該漏洞編號(hào)為CVE-2022-27924，目前已經(jīng)被收錄至CNNVD，編號(hào)為CNNVD-202204-3913，受影響的Zimbra主要是開(kāi)源和商業(yè)版本8.x和9.x。自2022年5月10日起，Zimbra 版本ZCS 9.0.0 的補(bǔ)丁24.1，以及ZCS 8.8.15的補(bǔ)丁31.1 中都發(fā)布了一個(gè)修復(fù)程序。

資料顯示，Zimbra提供一套開(kāi)源協(xié)同辦公套件包括WebMail，日歷，通信錄，Web文檔管理和創(chuàng)作。它最大的特色在于其采用Ajax技術(shù)模仿CS桌面應(yīng)用軟件的風(fēng)格開(kāi)發(fā)的客戶(hù)端兼容Firefox,Safari和IE瀏覽器。其產(chǎn)品遍布全球，在各國(guó)/地區(qū)的政府、組織、金融和教育部門(mén)廣泛使用。

悄無(wú)聲息竊取登錄憑證

SonarSource公司的研究人員報(bào)告了該漏洞，并對(duì)其進(jìn)行描述，“未經(jīng)身份驗(yàn)證的攻擊者可以將任意 memcache 命令注入目標(biāo)實(shí)例”。因此，攻擊者可以通過(guò)將CRLF注入Memcached查找的用戶(hù)名來(lái)進(jìn)行利用。

Memcached是一個(gè)免費(fèi)開(kāi)源的、高性能的、具有分布式內(nèi)存對(duì)象的緩存系統(tǒng)，通過(guò)減輕數(shù)據(jù)庫(kù)負(fù)載加速動(dòng)態(tài)Web應(yīng)用。因此它可以存儲(chǔ)電子郵件帳戶(hù)的鍵/值對(duì)，通過(guò)減少對(duì)查找服務(wù)的 HTTP 請(qǐng)求數(shù)量來(lái)提高 Zimbra 的性能。但是，Memcache使用的是比較簡(jiǎn)單的基于文本的協(xié)議進(jìn)行設(shè)置和檢索。

Zimbra 的請(qǐng)求路由圖 （SonarSource）

研究人員進(jìn)一步解釋?zhuān)粽呖梢酝ㄟ^(guò)對(duì)易受攻擊的Zimbra實(shí)例的特制HTTP請(qǐng)求，來(lái)覆蓋已知用戶(hù)名的IMAP路由條目。而當(dāng)真實(shí)用戶(hù)登錄時(shí)，Zimbra中的Nginx代理會(huì)將所有 IMAP 流量轉(zhuǎn)發(fā)給攻擊者，包括純文本憑據(jù)。

HTTP 請(qǐng)求（上）和發(fā)送到服務(wù)器的消息（下）（SonarSource）

郵件客戶(hù)端（如Thunderbird、Microsoft Outlook、macOS等郵件應(yīng)用程序和智能手機(jī)郵件應(yīng)用程序）通常會(huì)將用戶(hù)連接到其IMAP服務(wù)器的憑據(jù)存儲(chǔ)在磁盤(pán)上，因此該漏洞在利用時(shí)不需要任何用戶(hù)交互。但是，當(dāng)郵件客戶(hù)端重新啟動(dòng)或需要重新連接時(shí)，就需要重新對(duì)目標(biāo) Zimbra 實(shí)例進(jìn)行身份驗(yàn)證。

事實(shí)上，在日常生活中，想要知道目標(biāo)用戶(hù)的電子郵件地址是一件非常容易的事情，而使用 IMAP 客戶(hù)端也讓攻擊者可以更容易地利用該漏洞，但是這里面的詳細(xì)信息并非強(qiáng)制性。另外一種攻擊者則是利用技術(shù)允許繞過(guò)上述限制，在沒(méi)有交互且不了解 Zimbra 實(shí)例的情況下竊取任何用戶(hù)的憑據(jù)。

這是通過(guò)“Response Smuggling”來(lái)實(shí)現(xiàn)，利用了基于 Web 的 Zimbra 客戶(hù)端的替代途徑。通過(guò)不斷向 Memcached 的共享響應(yīng)流中注入比工作項(xiàng)更多的響應(yīng)，攻擊者可以強(qiáng)制隨機(jī) Memcached 查找使用注入的響應(yīng)而不是正確的響應(yīng)。這是因?yàn)?Zimbra 在使用 Memcached 響應(yīng)時(shí)沒(méi)有驗(yàn)證它的密鑰。

那么，攻擊者就可以輕松劫持電子郵件地址未知的隨機(jī)用戶(hù)的代理連接，仍然不需要任何交互或?yàn)槭芎φ呱扇魏尉瘓?bào)。

請(qǐng)及時(shí)更新安全措施

2022年3月1日，SonarSource公司研究人員就向Zimbra提交了這一漏洞信息，3月31日，Zimbra公司發(fā)布了第一個(gè)安全補(bǔ)丁，但是沒(méi)有完全解決這一問(wèn)題。5月10日，軟件供應(yīng)商發(fā)布了ZCS 9.0.0 補(bǔ)丁 24.1和ZCS 8.8.15 補(bǔ)丁 31.1解決了這些問(wèn)題，方法是在發(fā)送到服務(wù)器之前創(chuàng)建所有 Memcache 密鑰的 SHA-256 哈希，并敦促用戶(hù)及時(shí)進(jìn)行更新。

需要注意的是，SHA-256 不能包含空格，因此不能為 CRLF 注入創(chuàng)建新行，并且補(bǔ)丁版本不會(huì)發(fā)生命令注入攻擊。

參考來(lái)源：https://www.bleepingcomputer.com/news/security/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/