新しいZimbraメールの脆弱性により、攻撃者がログイン資格情報を盗む可能性があります from thehackernews.com
security summary
これは、悪用に成功した場合、認証されていない攻撃者がユーザーのクリアテキストパスワードを盗むことを可能にします。
これは、Zimbraユーザーを検索してHTTPリクエストを適切なバックエンドサービスに転送するために使用されるMemcachedサーバーのIMAPルートキャッシュエントリをポイズニングすることで可能になります。
「このコードの欠陥により、攻撃者は最終的に、標的となるZimbraインスタンスのユーザーからクリアテキストのクレデンシャルを盗むことができます」
とは言うものの、攻撃は、攻撃者がすでに被害者の電子メールアドレスを所有していて、キャッシュエントリを汚染できるようにし、IMAPクライアントを使用してメールサーバーから電子メールメッセージを取得することを前提としています。
「電子メールアドレスのリストは、LinkedInなどのOSINTソースから入手できます。」
この手法では、CRLFインジェクションの欠陥を悪用してIMAPトラフィックを不正なサーバーに転送する不正なHTTP応答を「密輸」し、事前の知識がなくてもユーザーから資格情報を盗みます。
コメント