Cabecera-v2-web.jpg

Vulnerabilidad crítica en Zimbra


16/06/2022

Se ha reportado una nueva vulnerabilidad en el servidor de correo electrónico Zimbra, que permitiría a un atacante no autenticado robar contraseñas de acceso sin cifrar de los usuarios sin ninguna interacción del usuario y realizar ejecución remota de código (RCE).

La vulnerabilidad identificada como CVE-2022-27924 de severidad alta, con puntuación asignada de 7.5. Esta se debe a la falla del componente Memcached del servidor Zimbra, Memcached es un sistema de almacenamiento de clave-valor en memoria para usar como caché de alto rendimiento o almacenamiento de sesiones para bases de datos externas y llamadas API, en este caso el servicio de búsqueda.

La vulnerabilidad se explota a través del envenenamiento de las entradas de caché de ruta IMAP en el servidor Memcached que se usa para buscar usuarios de Zimbra y reenviar sus solicitudes HTTP a los servicios de back-end apropiados.

La vulnerabilidad está presente en las versiones anteriores a:

  • Zimbra Collaboration Kepler 9.0.0 Parche 24.1
  • Zimbra Collaboration Joule 8.8.15 Parche 31.1

Mitigación:

Zimbra parchó la vulnerabilidad creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor de Memcache. Como la representación de cadena hexadecimal de un SHA-256 no puede contener espacios en blanco, ya no se pueden inyectar líneas nuevas. Las versiones corregidas son respectivamente 8.8.15 con nivel de parche 31.1 y 9.0.0 con nivel de parche 24.1.

Recomendamos actualizar con los siguientes enlaces proporcionados por Zimbra:

Información adicional:


pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tecnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11