據(jù)Bleeping Computer報道，郵件巨頭Zimbra某些版本的高嚴重性漏洞的技術細節(jié)已經(jīng)浮出水面，通過利用該漏洞，黑客可以在沒有身份驗證或用戶交互的情況下竊取登錄信息，這意味著黑客無需賬號密碼即可登錄用戶的郵箱。

該漏洞編號為CVE-2022-27924，目前已經(jīng)被收錄至CNNVD，編號為CNNVD-202204-3913，受影響的Zimbra主要是開源和商業(yè)版本8.x和9.x。自2022年5月10日起，Zimbra 版本ZCS 9.0.0 的補丁24.1，以及ZCS 8.8.15的補丁31.1 中都發(fā)布了一個修復程序。

資料顯示，Zimbra提供一套開源協(xié)同辦公套件包括WebMail，日歷，通信錄，Web文檔管理和創(chuàng)作。它最大的特色在于其采用Ajax技術模仿CS桌面應用軟件的風格開發(fā)的客戶端兼容Firefox,Safari和IE瀏覽器。其產(chǎn)品遍布全球，在各國/地區(qū)的政府、組織、金融和教育部門廣泛使用。

悄無聲息竊取登錄憑證

SonarSource公司的研究人員報告了該漏洞，并對其進行描述，“未經(jīng)身份驗證的攻擊者可以將任意 memcache 命令注入目標實例”。因此，攻擊者可以通過將CRLF注入Memcached查找的用戶名來進行利用。

Memcached是一個免費開源的、高性能的、具有分布式內存對象的緩存系統(tǒng)，通過減輕數(shù)據(jù)庫負載加速動態(tài)Web應用。因此它可以存儲電子郵件帳戶的鍵/值對，通過減少對查找服務的 HTTP 請求數(shù)量來提高 Zimbra 的性能。但是，Memcache使用的是比較簡單的基于文本的協(xié)議進行設置和檢索。

Zimbra 的請求路由圖 （SonarSource）

研究人員進一步解釋，攻擊者可以通過對易受攻擊的Zimbra實例的特制HTTP請求，來覆蓋已知用戶名的IMAP路由條目。而當真實用戶登錄時，Zimbra中的Nginx代理會將所有 IMAP 流量轉發(fā)給攻擊者，包括純文本憑據(jù)。

HTTP 請求（上）和發(fā)送到服務器的消息（下）（SonarSource）

郵件客戶端（如Thunderbird、Microsoft Outlook、macOS等郵件應用程序和智能手機郵件應用程序）通常會將用戶連接到其IMAP服務器的憑據(jù)存儲在磁盤上，因此該漏洞在利用時不需要任何用戶交互。但是，當郵件客戶端重新啟動或需要重新連接時，就需要重新對目標 Zimbra 實例進行身份驗證。

事實上，在日常生活中，想要知道目標用戶的電子郵件地址是一件非常容易的事情，而使用 IMAP 客戶端也讓攻擊者可以更容易地利用該漏洞，但是這里面的詳細信息并非強制性。另外一種攻擊者則是利用技術允許繞過上述限制，在沒有交互且不了解 Zimbra 實例的情況下竊取任何用戶的憑據(jù)。

這是通過“Response Smuggling”來實現(xiàn)，利用了基于 Web 的 Zimbra 客戶端的替代途徑。通過不斷向 Memcached 的共享響應流中注入比工作項更多的響應，攻擊者可以強制隨機 Memcached 查找使用注入的響應而不是正確的響應。這是因為 Zimbra 在使用 Memcached 響應時沒有驗證它的密鑰。

那么，攻擊者就可以輕松劫持電子郵件地址未知的隨機用戶的代理連接，仍然不需要任何交互或為受害者生成任何警報。

請及時更新安全措施

2022年3月1日，SonarSource公司研究人員就向Zimbra提交了這一漏洞信息，3月31日，Zimbra公司發(fā)布了第一個安全補丁，但是沒有完全解決這一問題。5月10日，軟件供應商發(fā)布了ZCS 9.0.0 補丁 24.1和ZCS 8.8.15 補丁 31.1解決了這些問題，方法是在發(fā)送到服務器之前創(chuàng)建所有 Memcache 密鑰的 SHA-256 哈希，并敦促用戶及時進行更新。

需要注意的是，SHA-256 不能包含空格，因此不能為 CRLF 注入創(chuàng)建新行，并且補丁版本不會發(fā)生命令注入攻擊。

參考來源：https://www.bleepingcomputer.com/news/security/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/