Zimbra Collaboration Suite a porté une vulnérabilité zero-day pendant plus d’un mois, offrant aux pirates une véritable journée sur le terrain qui a abouti à près de 900 serveurs (s’ouvre dans un nouvel onglet) être piraté.
Les chercheurs de Kaspersky ont noté la vulnérabilité signalée sur le forum Zimbra, après quoi toutes sortes de groupes de menaces persistantes avancées (APT) l’ont exploitée pour compromettre d’innombrables serveurs.
Kaspersky a qualifié la faille de vulnérabilité d’exécution de code à distance qui permet aux pirates d’envoyer un e-mail avec un fichier malveillant qui déploie un webshell sur le serveur Zimbra sans déclencher d’alarme antivirus. Il est maintenant suivi en tant que CVE-2022-41352. Certains chercheurs affirment que jusqu’à 1 600 serveurs ont été compromis en conséquence.
CPIO à la retraite
Les chercheurs ont déclaré plus tard qu’au moins 876 serveurs avaient été compromis avant qu’une solution de contournement ne soit partagée et qu’un correctif ne soit publié. Cependant, près de deux mois après le rapport initial, et juste au moment où Zimbra était sur le point de publier un correctif, Volexity a déclaré qu’il comptait quelque 1 600 serveurs compromis.
Zimbra a ensuite sorti le patch, apportant sa collaboration (s’ouvre dans un nouvel onglet) jusqu’à la version 9.0.0 P27. Dans ce document, la société a remplacé le composant défectueux (cpio) par Pax et a supprimé le code exploitable.
Les premières attaques ont commencé en septembre 2022, ciblant des serveurs en Inde et en Turquie. Les premiers raids ont été effectués contre des cibles « à faible intérêt », incitant les chercheurs à conclure que les pirates ne faisaient que tester les capacités de la faille, avant de passer à des cibles plus lucratives. Cependant, après la divulgation publique de la vulnérabilité, les acteurs de la menace ont accéléré le rythme, afin de l’utiliser autant que possible, avant que Zimbra ne publie un correctif.
Les administrateurs système qui ne sont pas en mesure d’appliquer le correctif immédiatement sont invités à viser au moins l’installation de la solution de contournement, car le nombre d’acteurs malveillants exploitant activement la vulnérabilité dans la nature est encore élevé.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)