ทีมนักวิจัยของบริษัท SonarSource เปิดเผยรายละเอียดทางเทคนิคเกี่ยวกับช่องโหว่ร้ายแรงที่ส่งผลกระทบต่อระบบอีเมล Zimbra บางรุ่น ทำให้แฮกเกอร์สามารถใช้ประโยชน์จากการขโมยข้อมูลการเข้าสู่ระบบโดยไม่ต้องพิสูจน์ตัวตนหรือดำเนินการใดๆ กับผู้ใช้งานที่ตกเป็นเป้าหมาย ชื่อรหัสช่องโหว่ดังกล่าวคือ CVE-2022-27924 ส่งผลกระทบต่อ ระบบอีเมล Zimbra รุ่น 8.8.x และ 9.x ทั้งแพลตฟอร์มที่เป็นโอเพนซอร์ส (open-source) และเชิงพาณิชย์
ทีมนักวิจัยสรุปได้ว่า แฮกเกอร์อาศัยช่องโหว่ของระบบโจมตีด้วยเทคนิค CRLF (Carriage Return Line Feed) injection และใช้เทคนิคการเขียนทับเส้นทางของ IMAP ซึ่งเป็นมาตรฐานโปรโตคอลในการรับ-ส่งอีเมล สำหรับชื่อผู้ใช้งาน ผ่านคำขอ HTTP ที่สร้างขึ้นมา แล้วส่งไปยัง Memcached Lookup ที่เป็นบริการภายในของระบบบัญชีอีเมล Zimbra จากนั้นเมื่อผู้ใช้งานจริงเข้าสู่ระบบ Ngnix Proxy ใน Zimbra จะส่งต่อการรับ-ส่งข้อมูล IMAP ทั้งหมดไปยังผู้ที่โจมตี ด้วยวิธีนี้ ผู้โจมตีสามารถเข้าถึงการเชื่อมต่อพร๊อกซี่ของผู้ใช้งานแบบสุ่มโดยไม่ทราบที่อยู่อีเมลได้
อย่างไรก็ตาม Zimbra ได้ออกคำสั่งแก้ไข (Patch) ในรุ่น ZCS 9.0.0 และ ZCS 8.8.15 ซึ่งพร้อมใช้งานเมื่อ 10 พ.ค. 65 โดยระบบอีเมล Zimbra เป็นที่นิยมใช้กันในองค์กรทั่วโลก รวมถึงหน่วยงานภาครัฐ การเงิน และการศึกษา
ที่มา : https://www.bleepingcomputer.com/news/security/zimbra-bug-allows-stealing-email-logins-with-no-user-interaction/
