Support technique
Documentation
Connexion
Nous contacter
Des pirates compromettent près de 900 serveurs en exploitant une faille de sécurité dans Zimbra
26 octobre 2022 - L'équipe de relations publiques de TuxCare
Les pirates exploitent une vulnérabilité connue sous le nom de CVE-2022-41352 dans la Zimbra Collaboration Suite (ZCS). Déjà, les acteurs de la menace ont pu pirater près de 900 serveurs.
La preuve de concept (PoC) de la vulnérabilité a été ajoutée au Metasploit Framework, ce qui permet aux attaquants non professionnels d'exploiter la vulnérabilité.
Les chercheurs de Kaspersky ont expliqué qu'un APT inconnu qui a exploité la vulnérabilité critique avait probablement compilé un exploit fonctionnel sur la base des informations publiques publiées sur les forums de Simbra.
La vulnérabilité de Zimbra est une faille d'exécution de code à distance qui permet à un attaquant d'envoyer un courriel avec une pièce jointe d'archive malveillante qui place un shell web dans le serveur Zimbra Collaboration Suite tout en contournant l'antivirus dans le processus.
Les chercheurs de Kaspersky ont identifié au moins 876 serveurs qui avaient été compromis par des attaquants exploitant la vulnérabilité avant qu'elle ne soit rendue publique. Après sa publication, divers groupes de menaces ont également tenté d'exploiter la faille.
Depuis qu'elle a été signalée, le taux d'exploitation a augmenté. Bien que Zimbra ait corrigé un problème de sécurité avec la version 9.0.0 P27 de ZCS, les attaquants continuent de lancer des attaques opportunistes pour exploiter la vulnérabilité.
Selon Kaspersky, les premières attaques exploitant les serveurs Zimbra vulnérables ont commencé en septembre en Inde et en Turquie. Les chercheurs pensent que la première vague d'attaques était probablement une vague de test contre des cibles peu intéressantes afin de tester son efficacité.
Les attaquants ont compromis 44 serveurs au cours de la première vague, et pour la deuxième vague, après que le bogue soit devenu public, les acteurs de la menace ont changé de vitesse et ont commencé des attaques de masse, ce qui a entraîné la compromission de 832 serveurs avec des webshells malveillants.
La société de sécurité Volexity a déclaré qu'environ 1600 serveurs ZCS ont été compromis par des acteurs de la menace après avoir exploité CVE-2022-41352 pour implanter des webshells.
Les administrateurs de ZCS qui n'ont pas encore appliqué les mises à jour de sécurité de Zimbra ou les solutions de contournement disponibles sont invités à le faire immédiatement, car les acteurs de la menace exploitent déjà activement les failles.
Les sources de cet article comprennent un article de BleepingComputer.
