Posté le octobre 16, 2022 à 5:57
PRÈS DE 900 SERVEURS ZIMBRA CS EXPLOITÉS SUITE À UNE VULNÉRABILITÉ ZERO-DAY
La société de cybersécurité Kaspersky a révélé, dans un tweet, que 876 serveurs ont été compromis dans le cadre d’une vulnérabilité critique de Zimbra Collaboration Suite (ZCS). Au moment du piratage, la vulnérabilité était qualifiée de zero-day sans correctif depuis plus d’un mois.
La vulnérabilité est une faille d’exécution de code à distance répertoriée sous le nom de CVE-2022-41352. Selon les chercheurs de la société de sécurité, la faille permet aux acteurs de la menace d’envoyer un e-mail avec une pièce jointe archive. Celle-ci enregistre un shell web dans le serveur ZCS tout en échappant aux contrôles antivirus.
Kaspersky a également révélé que divers groupes de menaces persistantes avancées (APT) ont exploité la vulnérabilité peu après qu’elle ait été signalée sur les forums Zimbra.
La société de cybersécurité a déclaré que les 876 serveurs étaient infiltrés par des hackers sophistiqués avant que la vulnérabilité ne reçoive un identifiant CVE et ne soit largement médiatisée.
Une exploitation active des failles dans Zimbra Collaboration Suite
Dans un rapport publié par Rapid7 la semaine dernière, la société a annoncé l’exploitation active publique de Zimbra Collaboration Suite (ZCS), un client web et serveur de messagerie populaire, repérée sous le nom de CVE-2022-41352. Le zero-day, avec un score critique de 9,8, permet aux acteurs de la menace de télécharger des fichiers arbitraires via le système de sécurité de messagerie « Amavis ».
Si les hackers parviennent à exploiter cette vulnérabilité, ils pourront écraser le webroot de Zimbra, accéder aux comptes d’autres utilisateurs et installer un shellcode. Le bug a été découvert début septembre sous la forme d’un zero-day après que des administrateurs ont publié des détails sur les attaques sur les forums de Zimbra.
Selon le rapport, le bug est dû à une utilisation non sécurisée du fichier « cpio ». Il comporte une faille qui permet aux attaquants de créer des archives à partir de n’importe quel système de fichiers accessible à Zimbra.
Zimbra a déjà publié un correctif de sécurité pour cette faille le 14 septembre et a conseillé aux administrateurs de redémarrer leurs serveurs Zimbra après avoir installé un utilitaire d’archivage portable pour remplacer cpio, la pièce défectueuse.
La société indique qu’aucune configuration supplémentaire n’est nécessaire puisque l’installation de Paxwill suffira à résoudre le problème. L’exploitation comprend également un exploit PoC qui permet aux acteurs de la menace de créer des archives malveillantes en toute simplicité.
De plus, Rapid7 a révélé un test récent qu’elle a effectué, qui a montré que la plupart des distributions Linux supportées par Zimbra n’installent pas Pax par défaut. Ceci constitue un problème supplémentaire car les serveurs restent très vulnérables aux attaques.
À l’époque, Zimbra avait exhorté les administrateurs à prendre les précautions nécessaires puisqu’aucun patch n’était disponible pour cette vulnérabilité.
Un correctif de sécurité pour la version 9.0.0 de ZCS a été lancé
Zimbra a déclaré avoir fourni un correctif de sécurité pour la faille P27 de la version 9.0.0 de ZCS. Celui-ci a supprimé la partie vulnérable qui rendait l’exploitation possible après le remplacement du composant défectueux (cpio) par Pax. Mais avant que le correctif ne soit publié, l’exploitation s’est rapidement développée, plusieurs hackers ayant lancé des attaques opportunistes.
Hier, Volexity a signalé que 1 600 serveurs ZCS ont été identifiés par ses analystes qui pensent qu’ils ont été exploités par des hackers qui ont tiré parti de CVE-2022-41352 pour implanter des webshells.
Kaspersky affirme également qu’un groupe de hackers inconnu tire profit de la vulnérabilité, sur la base des détails publiés sur les forums Zimbra. L’entreprise de sécurité estime que les méthodes opérationnelles du groupe de hackers montrent qu’elles sont le fait d’un groupe APT sophistiqué disposant d’outils avancés pour leurs attaques.
Le même jour, Metasploit a ajouté une preuve de concept (PoC), qui a permis à des attaquants même inexpérimentés de lancer avec succès des attaques contre des serveurs sensibles.
Il a été conseillé aux administrateurs d’appliquer rapidement les mises à jour
Les premières attaques, qui ont débuté le mois dernier, visaient certains serveurs Zimbra en Turquie et en Inde. Mais ces premières vagues d’attaques visaient vraisemblablement des organisations plus petites comme terrain d’essai pour une attaque plus avancée. L’idée était d’évaluer l’efficacité de l’attaque avant de passer aux actions. Et la première vague d’attaque de test, selon Kaspersky, a compromis 44 serveurs.
Après la découverte et l’annonce de la vulnérabilité au public, le groupe de hackers a intensifié son jeu et a commencé à effectuer un ciblage de masse. Ils espéraient infiltrer autant de serveurs que possible avant que les administrateurs ne fournissent un correctif et bloquent le passage des hackers.
La deuxième vague a été plus dévastatrice, puisqu’elle a compromis 832 serveurs et implanté des webshells malveillants. Mais cette fois, les attaques n’étaient pas aussi spécifiques que celles de la vague précédente.
Zimbra a conseillé aux administrateurs d’appliquer rapidement les correctifs à la vulnérabilité car les hackers ont continué à exploiter des serveurs qui n’ont pas encore été mis à jour.