Se ha reportado una nueva vulnerabilidad en el servidor de correo electrónico Zimbra, que permitiría a un atacante no autenticado robar contraseñas de acceso sin cifrar de los usuarios sin ninguna interacción del usuario y realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2022-27924 de severidad alta, con puntuación asignada de 7.5. Esta se debe a la falla del componente Memcached del servidor Zimbra, Memcached es un sistema de almacenamiento de clave-valor en memoria para usar como caché de alto rendimiento o almacenamiento de sesiones para bases de datos externas y llamadas API, en este caso el servicio de búsqueda.
La vulnerabilidad se explota a través del envenenamiento de las entradas de caché de ruta IMAP en el servidor Memcached que se usa para buscar usuarios de Zimbra y reenviar sus solicitudes HTTP a los servicios de back-end apropiados.
Zimbra parchó la vulnerabilidad creando un hash SHA-256 de todas las claves de Memcache antes de enviarlas al servidor de Memcache. Como la representación de cadena hexadecimal de un SHA-256 no puede contener espacios en blanco, ya no se pueden inyectar líneas nuevas. Las versiones corregidas son respectivamente 8.8.15 con nivel de parche 31.1 y 9.0.0 con nivel de parche 24.1.
Recomendamos actualizar con los siguientes enlaces proporcionados por Zimbra:
Información adicional:
- https://www.cert.gov.py/wp-content/uploads/2022/07/BOL-CERT-PY-2022-26-Vulnerabilidad-critica-en-Zimbra-1.pdf
- https://cert.gov.py/noticias/vulnerabilidad-de-rce-en-servidor-de-correo-electronico-zimbra
- https://csirt.telconet.net/comunicacion/noticias-seguridad/vulnerabilidad-zero-day-zimbra-cve-2022-27924-permite-que-los-atacantes-roben-credenciales-de-inicio-de-sesion-sin-autenticacion/
- https://thehackernews.com/2022/06/new-zimbra-email-vulnerability-could.html
- https://nvd.nist.gov/vuln/detail/CVE-2022-27924