cve-2022-27924 - RunkIntel

# CVE-2022-27924 ## Resumo CVE-2022-27924 é uma vulnerabilidade de **injeção de comandos memcache** (*Command Injection*, CWE-74) no Zimbra Collaboration Suite (ZCS), plataforma de e-mail e colaboração corporativa. A falha permite que um atacante remoto não autenticado injete comandos arbitrários memcache em uma instância-alvo do ZCS, causando a sobrescrita de entradas arbitrárias no cache. O ataque mais grave possibilita o redirecionamento silencioso do tráfego IMAP/POP3 de um usuário-alvo para um servidor controlado pelo atacante, capturando credenciais em texto claro sem nenhuma interação da vítima. A vulnerabilidade foi descoberta pela SonarSource em março de 2022 e corrigida pelo Zimbra em maio de 2022. A CISA e o MS-ISAC públicaram um aviso conjunto em agosto de 2022 (AA22-228A) alertando sobre exploração ativa em instâncias de governo e setor privado. ## Detalhes Técnicos - **Tipo:** Command Injection (memcache injection) / Credential Theft - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim - **Versões afetadas:** ZCS 8.8.15 (antes do Patch 31.1) e ZCS 9.0.0 (antes do Patch 24.1) - **Versão corrigida:** ZCS 8.8.15 P31.1 e ZCS 9.0.0 P24.1 (liberados em 10/05/2022) - **CWE:** CWE-74 (Improper Neutralization of Special Elements in Output Used by a Downstream Component) ### Funcionamento Técnico O Zimbra Collaboration Suite utiliza o serviço memcached para armazenar em cache informações de roteamento de usuários, incluindo dados de sessão e tokens de autenticação. A vulnerabilidade existe devido à válidação insuficiente de entradas do usuário na construção de comandos memcache - a aplicação não sanitiza corretamente sequências CRLF (`\r\n`) antes de passá-las ao backend memcached. Um atacante pode enviar uma requisição HTTP especialmente construída contendo sequências CRLF nos parâmetros, quebrando o contexto do comando memcache legítimo e injetando comandos maliciosos adicionais. Ao envenenar a entrada de roteamento de cache de um usuário-alvo (cujo endereço de e-mail é conhecido), o atacante pode redirecionar a conexão IMAP/POP3 da vítima para um servidor controlado - capturando as credenciais em texto claro quando o usuário autentica. ## Exploração A CISA adicionou CVE-2022-27924 ao catálogo KEV em 4 de agosto de 2022, confirmando exploração ativa em instâncias reais. A CISA e o MS-ISAC públicaram o advisory conjunto AA22-228A em 16 de agosto de 2022, alertando que a falha estava sendo explorada por atores de ameaça contra instâncias ZCS em redes governamentais e do setor privado. PoCs e um vídeo demonstrativo foram públicados pela SonarSource após a divulgação. O cenário de ataque é particularmente perigoso porque: (1) não requer interação da vítima além do uso normal do e-mail, (2) as credenciais são capturadas em texto claro, e (3) com credenciais de e-mail válidas, os atacantes podem lançar ataques de spear-phishing, engenharia social e Business Email Compromise (BEC) altamente convincentes. IoCs incluem conexões a um servidor de comando e controle Cobalt Strike: `207.148.76[.]235`. ## Mitigação 1. Atualizar imediatamente o ZCS para versão 8.8.15 P32 (ou posterior) ou 9.0.0 P24 (ou posterior) 2. Restringir o acesso ao serviço memcached (porta 11211) apenas a hosts internos confiáveis via iptables 3. Monitorar logs do servidor web em busca de requisições contendo sequências CRLF codificadas (`%0d%0a` ou `\r\n`) em parâmetros de URL 4. Verificar IoC: conexões de saída do servidor Zimbra para IPs externos via IMAP/POP3 5. Forçar redefinição de senhas se exploração for suspeita; habilitar MFA para todas as contas ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2022-27924 Zimbra Memcache Injection (TLP:GREEN) > Fonte: CISA/MS-ISAC Advisory AA22-228A, agosto 2022. > > **IPs de C2 (Defanged)** > - `207.148.76[.]235` - servidor Cobalt Strike C2 observado em exploração ativa > > **Behavioral IoCs** > - Conexoes de saida do servidor Zimbra para IPs externos via IMAP/POP3 (porta 143/110) > - Requisicoes HTTP contendo sequencias CRLF codificadas (`%0d%0a` ou `%0d%0a`) em parametros de URL > - Redirecionamento anomalo de conexoes IMAP/POP3 de usuarios para hosts externos > - Acesso incomum ao servico memcached (porta 11211) a partir de hosts nao internos ## Referências - [NVD - CVE-2022-27924](https://nvd.nist.gov/vuln/detail/CVE-2022-27924) - [CISA/MS-ISAC Joint Advisory AA22-228A](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-228a) - [CISA KEV - Adição em 04/08/2022](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [The Hacker News - CISA adiciona CVE Zimbra](https://thehackernews.com/2022/08/cisa-adds-zimbra-email-vulnerability-to.html) - [SentinelOne - Análise CVE-2022-27924](https://www.sentinelone.com/vulnerability-database/CVE-2022-27924/) ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O **Zimbra** é amplamente utilizado por governos, prefeituras, universidades e empresas de médio porte na América Latina - especialmente no Brasil, onde muitas instituições públicas adotaram o ZCS como alternativa open-source ao Microsoft Exchange. A exploração desta CVE em servidores de e-mail governamentais representa risco de comprometimento de comúnicações institucionais sensíveis e exfiltração de credenciais de servidores públicos. O histórico de grupos como **APT28** (Rússia) e **MuddyWater** (Irã) alvejando infraestrutura de e-mail governamental é relevante no contexto brasileiro de segurança da informação. ## Notas Relacionadas **CVEs relacionadas:** [[cve-2022-27925|CVE-2022-27925]] · [[cve-2022-37042|CVE-2022-37042]] · [[cve-2022-30333|CVE-2022-30333]] **Atores com histórico em e-mail:** [[g0069-mango-sandstorm|MuddyWater]] · [[g0007-apt28|APT28]] · [[g1045-salt-typhoon|Salt Typhoon]] **TTPs relacionadas:** [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]] · [[t1040-network-sniffing|T1040 - Network Sniffing]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] **Setores em risco:** [[government|governo]] · [[technology|tecnologia]] · [[financial|financeiro]] A exploração massiva do ZCS em agosto de 2022 comprometeu mais de 1.000 instâncias globalmente. A técnica de roubo de credenciais via injeção em serviços de cache é um vetor sofisticado que combina [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]] com captura de credenciais em texto claro.