ClickCease Zimbra Zero-Day Exploit Unveiled

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Zimbra Zero-Day Exploit Unveiled

par Wajahat Raja

Le 1er décembre 2023 - L'équipe d'experts de TuxCare

Les cybermenaces qui pèsent sur les systèmes de messagerie électronique des entreprises sont devenues extrêmement courantes dans ce monde numérique. Récemment, une vulnérabilité critique de type "zero-day" dans le logiciel de messagerie Zimbra Collaboration, largement utilisé, a été exploitée par de multiples acteurs de la menace, posant des risques importants pour les données de messagerie, les informations d'identification des utilisateurs et les jetons d'authentification. Cette faille, identifiée comme CVE-2023-37580 avec un score CVSS de 6.1, est une vulnérabilité cross-site scripting (XSS) reflétée qui affecte les versions antérieures à 8.8.15 Patch 41. Malgré la réponse rapide de Zimbra avec des correctifs publiés le 25 juillet 2023, les attaques réelles ont continué à se développer. Ce blog détaille l'exploit zero-day de exploit zero-day de Zimbra ainsi que les mesures prises pour résoudre le problème.


Dynamique d'exploitation


Selon les conclusions du Google Threat Analysis Group (TAG), quatre groupes distincts ont exploité cette vulnérabilité dans des attaques en direct. Étonnamment, la plupart de ces exploits ont eu lieu après que Zimbra ait déjà résolu le problème et rendu public le correctif sur GitHub. Cela montre l'urgence pour les organisations d'appliquer rapidement les mises à jour de sécurité de
les mises à jour de sécurité de Zimbra.


Zimbra Zero-Day Exploit Overview (en anglais)


Les
CVE-2023-37580 permettait aux attaquants d'exécuter des scripts malveillants sur les navigateurs web des victimes en les incitant à cliquer sur une URL spécialement conçue. Cette dernière initiait alors une requête de script intersite vers Zimbra, renvoyant l'attaque à l'utilisateur. La simplicité de cette méthode souligne l'importance de la vigilance à l'égard des vulnérabilités en matière de sécurité du courrier électronique.


Calendrier et objectifs de la campagne


Le rapport du TAG a mis en évidence plusieurs vagues de campagne commençant le
29 juin 2023soit deux semaines avant l'avis de Zimbra. Parmi les quatre menaces de cybersécurité dans Zimbratrois campagnes ont eu lieu avant la publication du correctif, la quatrième émergeant un mois après que les correctifs ont été rendus publics.

  1. Le ciblage du gouvernement en Grèce

    La première campagne, une
    vulnérabilité d'un système de courrier électroniqueLa première campagne, qui portait sur la vulnérabilité d'un système de messagerie électronique, visait spécifiquement une organisation gouvernementale en Grèce. Des URL d'exploitation ont été diffusées dans les courriels, déclenchant un logiciel malveillant de vol de courriels en cas de clic. Cette opération, identifiée comme TEMP_HERETIC par Volexity, a utilisé une faille zero-day de Zimbra ainsi que d'autres tactiques.
  2. Activité de Winter Vivern

    Le second acteur, connu sous le nom de Winter Vivern, s'est concentré sur des organisations gouvernementales en Moldavie et en Tunisie peu de temps après que le correctif de la vulnérabilité ait été disponible sur GitHub. Winter Vivern a déjà été associé à l'exploitation des vulnérabilités de Roundcube.
    associé à l'exploitation des vulnérabilités de Roundcube et de Zimbra Collaboration, ce qui amplifie la gravité de leurs activités.
  3. L'hameçonnage au Viêt Nam

    TAG a détecté un troisième groupe non identifié qui a exploité la vulnérabilité avant la publication du correctif. Ce groupe visait à hameçonner les informations d'identification d'une organisation gouvernementale au Vietnam, en utilisant une URL d'exploitation qui dirigeait les utilisateurs vers une page d'hameçonnage. Les informations d'identification volées ont ensuite été publiées sur un domaine gouvernemental officiel compromis.
  4. Cibler le Pakistan

    La quatrième campagne a ciblé une organisation gouvernementale au Pakistan le 25 août, entraînant l'exfiltration de jetons d'authentification Zimbra vers un domaine distant nommé "ntcpk[.]org". Cela souligne la portée et l'impact mondiaux de ces exploits et met en évidence l'importance de mesures de cybersécurité renforcées qui aident à atténuer les risques liés à la sécurité des logiciels de messagerie électronique.
    risques liés à la sécurité des logiciels de messagerie.


L'urgence des correctifs en temps voulu


Les découvertes de TAG soulignent l'importance cruciale pour les organisations d'appliquer rapidement des correctifs à leurs serveurs de messagerie afin de
protéger contre les les failles de type "zero-day. Le fait que trois des quatre campagnes aient eu lieu après que la vulnérabilité ait été rendue publique souligne la nécessité d'une action rapide. Le rapport met également en lumière une tendance inquiétante : les acteurs de la menace surveillent activement les dépôts de logiciels libres pour exploiter les vulnérabilités de manière opportuniste.


Mesures de sécurité pour Zimbra Email et préparation à l'avenir


Google recommande de procéder à un audit approfondi des serveurs de messagerie, en se concentrant particulièrement sur les vulnérabilités XSS, étant donné le schéma récurrent d'exploitation à cet égard. L'évolution du paysage des
exploits "zéro jour" dans les logiciels de messagerieappelle les organisations non seulement à rester vigilantes, mais aussi à évaluer et à renforcer de manière proactive leurs mesures de sécurité afin d'atténuer les risques potentiels. mesures de sécurité afin d'atténuer les risques potentiels.


Conclusion

 

L'exploitation récente de la vulnérabilité du logiciel de messagerie Zimbra Collaboration nous rappelle brutalement la nature persistante et évolutive des cybermenaces. Les acteurs de la menace devenant de plus en plus sophistiqués, il est impératif que les organisations adoptent une approche proactive de la cybersécurité. Donner la priorité à des mesures de cybersécurité robustes, telles que l'application de correctifs en temps voulu et une surveillance vigilante, est primordiale pour que les organisations puissent atténuer efficacement les risques associés à l'exploitation de type "zero-day". la prévention de l'exploitation des zero-dayLa prévention de l'exploitation zero-day, qui garantit la résilience des systèmes de communication critiques contre les vulnérabilités émergentes, est essentielle pour les organisations.

Les sources de cet article comprennent des articles dans The Hacker News et Vulners.

Résumé
Zimbra Zero-Day Exploit Unveiled
Nom de l'article
Zimbra Zero-Day Exploit Unveiled
Description
Découvrez l'exploit critique Zimbra zero-day, les risques associés et les mesures de protection, et sécurisez vos systèmes de messagerie dès aujourd'hui.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !