Posté le février 4, 2022 à 10:07
UNE VULNÉRABILITÉ ZERO-DAY DANS ZIMBRA A PERMIS AUX HACKERS D’EXPLOITER DES SERVEURS, AVERTIT VOLEXITY
Les chercheurs en sécurité de Volexity ont averti que des hackers chinois exploitent une vulnérabilité de type zero-day dans la plateforme de messagerie Zimbra. Selon les chasseurs de logiciels malveillants, les acteurs de la menace ciblent des établissements gouvernementaux en Europe.
L’exploitation commence par une série d’emails de spear-fishing ciblés et est décrite comme étant « en cours » pour le moment. Les chercheurs ont également déclaré que la vulnérabilité n’a pas reçu de dénomination CVE et n’a pas encore été corrigée.
L’attaque a été lancée en deux phases
Comme nouvelle faille, les utilisateurs ont été mis à jour sur la méthode d’attaque et d’exploitation des acteurs de la menace. Selon Volexity, les hackers chinois ont lancé les attaques en deux phases différentes dans des vagues différentes.
Dans la première étape, les acteurs de la menace ont conçu les e-mails pour vérifier si la cible a reçu et ouvert le message. La deuxième étape a été lancée en plusieurs vagues contenant des messages électroniques qui incitent les cibles à cliquer sur un lien malveillant. Toutefois, l’exploit ne sera pas réussi si la cible n’a pas cliqué sur le lien pour visiter la page de l’expéditeur. Elle devra également se connecter au client webmail Zimbra à partir d’un navigateur web.
Une fois l’exploit réussi, l’acteur de la menace s’infiltre dans le système de la cible et exécute un JavaScript arbitraire en utilisant la session Zimbra de l’utilisateur. Les chercheurs en sécurité ont également noté que les acteurs de la menace volent également les pièces jointes et les données des e-mails des utilisateurs lors du chargement de JavaScript.
Une fois qu’ils ont convaincu l’utilisateur de cliquer sur le lien infesté de logiciels malveillants, le serveur de messagerie Zimbra de l’utilisateur est à la merci des attaquants. Ils peuvent implanter des cookies et utiliser l’e-mail pour permettre à d’autres logiciels malveillants de s’introduire dans le système, ont averti les chercheurs.
La vulnérabilité n’est toujours pas corrigée
Selon le rapport, Volexity a découvert les attaques en décembre et en a immédiatement informé Zimba. Cependant, comme rien n’a été fait pour fournir un correctif à la vulnérabilité, Volexity dit avoir décidé de rendre sa découverte publique.
L’entreprise de sécurité explique qu’elle a décidé de fournir des détails sur l’attaque afin d’avertir ceux qui utilisent les serveurs de messagerie Zimbra de renforcer la protection de leurs systèmes. Ces informations les aideront également à savoir s’ils ont été victimes de cette attaque et comment ils peuvent faire face à la situation.
Le premier e-mail était une étape préliminaire, l’attaque proprement dite débutant lors de la deuxième étape. Dans le deuxième exploit, un lien est envoyé par courriel à l’utilisateur, qui sera redirigé vers le site Web distant de l’attaquant lorsqu’il cliquera sur le lien.
Une fois qu’il a accédé à la page, un code JavaScript malveillant exécute une attaque XSS (cross-site scripting) contre l’application de messagerie Web Zimbra de son entreprise.
Le Zero-Day est inactif contre les installations de Zimbra 9.X
Selon l’équipe de sécurité, le code exploite une faille dans les versions 8.8.15 P29 & P30 du client webmail Zimbra. Il permet également aux acteurs de la menace d’accéder aux fichiers de cookies de session de Zimbra.
Une fois que les attaquants disposent de ces fichiers, ils peuvent se connecter directement à un compte Zimbra, ce qui leur permet de tromper les utilisateurs pour télécharger des logiciels malveillants et accéder à leurs e-mails. Les attaquants peuvent également réaliser d’autres exploits une fois qu’ils ont le contrôle du compte de l’utilisateur.
Un point positif de cette vulnérabilité est le fait que tous les utilisateurs de Zimbra ne sont pas vulnérables à l’attaque.
Bien qu’il y ait plus de 33 000 serveurs Zimbra connectés à l’internet, les utilisateurs des modèles Zimbra 9x sont complètement couverts contre l’exploitation via ce zero-day, qui est la version la plus récente. Cela signifie que le niveau de pénétration de l’attaque n’est pas aussi important qu’on le pensait.
Les administrateurs sont invités à consulter le rapport de Volexity
Volexity a également noté que, bien qu’ils aient nommé l’acteur de la menace TEMP_Heretic, ils n’ont pas encore été en mesure de les relier. Les chercheurs ont noté que l’on ne sait pas grand-chose sur les acteurs de la menace, bien qu’ils semblent venir de Chine.
Volexity ajoute que la technique et l’infrastructure d’attaque utilisées montrent que les attaquants sont très probablement en provenance de Chine, mais qu’ils peuvent attaquer depuis une autre région.
Les chercheurs ont noté qu’ils avaient déjà vu TEMP_Heretic attaquer des agences gouvernementales et médiatiques européennes, bien que le groupe ait également attaqué d’autres cibles.
Les administrateurs informatiques des serveurs de messagerie Zimbra ont été invités à consulter le rapport Volexity pour savoir s’ils ont été ciblés. Selon Volexity, ces acteurs de menaces utilisent généralement des courriels et les déguisent en avertissements, invitations, remboursements ou autres contenus susceptibles d’attirer l’utilisateur en tant qu’objet de l’email.