安全研究人员透露，商业网络邮件平台Zimbra中的一个memcached注入漏洞可能允许攻击者在没有用户交互的情况下窃取登录凭据。

据其开发商Synacor称，Zimbra是电子邮件服务器和协作服务（包括Microsoft Exchange）的开源替代品，全球有超过 200000家企业以及1000多家政府和金融机构使用它。

瑞士安全公司Sonar（前身为SonarSource）的漏洞研究员Simon Scannell记录了未经身份验证的攻击者如何毒害毫无戒心的受害者的缓存。

当邮件客户端连接到Zimbra服务器时，该漏洞可以从Zimbra实例中窃取明文凭据，如下面的概念验证视频所示:

因为换行符( \r\n )没有在不受信任的用户输入中转义，所以攻击者可以将任意memcached命令注入目标实例并触发任意缓存条目的覆盖。

Memcached服务器存储可以使用简单的基于文本的协议设置和检索的(键/值)对，并逐行解释传入的数据。

鉴于成功利用的潜在影响，已敦促Zimbra用户立即升级其安装。

该漏洞(CVE-2022-27924)的严重性被列为“高”(CVSS 7.5)而不是“严重”，但一旦邮箱被攻破，“攻击者可能会升级其对目标组织的访问权限并获得对各种内部服务和窃取高度敏感的信息”，Scannell警告说。

“通过邮件访问，攻击者可以重置密码、冒充受害者，并默默阅读目标公司内的所有私人对话。”

攻击者可以通过确定受害者的电子邮件地址来毒害受害者的IMAP（Internet 消息访问协议）路由缓存条目——这对于 OSINT方法来说是一项非常简单的任务——但研究人员还成功地部署了响应走私来窃取明文凭据，而无需先获取此信息。

“通过不断向Memcached的共享响应流中注入比工作项更多的响应，我们可以强制随机Memcached查找使用注入的响应而不是正确的响应，”Scannell解释说。

“这是可行的，因为Zimbra在使用Memcached响应时没有验证它的密钥。通过利用这种行为，我们可以劫持随机用户连接到我们的IMAP服务器的代理连接，而无需知道他们的电子邮件地址。”

该漏洞在默认配置中影响Zimbra的开源和商业版本。

这些漏洞于3月11日报告，3月31日发布的初始修复未能正确解决该问题。全面修补的版本是补丁级别31.1的8.8.15和补丁级别24.1的9.0.0。

“Zimbra通过在将所有Memcache密钥发送到Memcache服务器之前创建SHA-256哈希来修复漏洞，”Scannell说。“由于SHA-256的十六进制字符串表示不能包含空格，因此不能再注入换行符。”

Sonar于6月14日披露了该漏洞。

Scannell通过观察到由于缺乏输入转义而引起的跨站点脚本(XSS)和SQL注入缺陷“已经众所周知并记录了几十年”，但“可能会出现其他鲜为人知的注入漏洞”，从而结束了他的文章。并可能产生重大影响”。

因此，Scannell建议开发人员“在处理关于潜在漏洞的文档和研究较少的技术时，应注意应该转义的特殊字符”。

该漏洞是在Zimbra发布针对XSS漏洞的修补程序四个月后出现的，该漏洞的滥用支持了与以前未知的中国威胁组织相关的一系列复杂的鱼叉式网络钓鱼活动。

Sonar去年还发现了两个Zimbra 漏洞，如果结合起来，未经身份验证的攻击者可以控制Zimbra服务器。