Une faille Zero Day dans le logiciel de messagerie Zimbra Collaboration a été exploitée par quatre groupes différents lors d’attaques réelles visant à voler des données de messagerie, des informations d’identification d’utilisateur et des jetons d’authentification.
« La plupart de cette activité s’est produite après que le correctif initial a été rendu public sur GitHub », Google Threat Analysis Group (TAG) dit dans un rapport partagé avec The Hacker News.
La faille, suivie comme CVE-2023-37580 (score CVSS : 6,1), est une vulnérabilité de cross-site scripting (XSS) affectant les versions antérieures à la version 8.8.15 Patch 41. Elle a été corrigée par Zimbra dans le cadre des correctifs publiés le 25 juillet 2023.
L’exploitation réussie de cette faille pourrait permettre l’exécution de scripts malveillants sur le navigateur Web des victimes simplement en les incitant à cliquer sur une URL spécialement conçue, initiant ainsi la requête XSS à Zimbra et renvoyant l’attaque à l’utilisateur.
Google TAG, dont le chercheur Clément Lecigne a découvert et signalé le bug, a déclaré avoir découvert plusieurs vagues de campagnes à partir du 29 juin 2023, au moins deux semaines avant que Zimbra ne publie un avis.
Trois des quatre campagnes ont été observées avant la publication du correctif, la quatrième campagne étant détectée un mois après la publication des correctifs.
La première campagne aurait ciblé une organisation gouvernementale en Grèce, envoyant à leurs cibles des e-mails contenant des URL d’exploitation qui, une fois cliquées, délivraient un malware de vol d’e-mails précédemment observé lors d’une opération de cyberespionnage baptisée EmailThief en février 2022.
L’ensemble d’intrusions, que Volexity a nommé TEMP_HERETIC, a également exploité une faille alors zéro jour dans Zimbra pour mener les attaques.
Le deuxième acteur menaçant à exploiter CVE-2023-37580 est Winter Vivern, qui a ciblé des organisations gouvernementales en Moldavie et en Tunisie peu de temps après qu’un correctif pour la vulnérabilité ait été envoyé sur GitHub le 5 juillet.
Il convient de noter que le collectif contradictoire a été lié à l’exploitation des vulnérabilités de sécurité dans Zimbra Collaboration et Roundcube par Proofpoint et ESET cette année.
TAG a déclaré avoir repéré un troisième groupe non identifié utilisant le bug avant que le correctif ne soit diffusé le 25 juillet pour pirater des informations d’identification appartenant à une organisation gouvernementale au Vietnam.
« Dans ce cas, l’URL de l’exploit pointait vers un script qui affichait une page de phishing pour les identifiants de messagerie Web des utilisateurs et publiait les identifiants volés sur une URL hébergée sur un domaine gouvernemental officiel que les attaquants ont probablement compromis », a noté TAG.
Enfin, une organisation gouvernementale au Pakistan a été ciblée par la faille le 25 août, entraînant l’exfiltration du jeton d’authentification Zimbra vers un domaine distant nommé « ntcpk ».[.]org. »
Google a en outre souligné une tendance selon laquelle les acteurs malveillants exploitent régulièrement les vulnérabilités XSS des serveurs de messagerie, ce qui nécessite un audit approfondi de ces applications.
« La découverte d’au moins quatre campagnes exploitant CVE-2023-37580, trois campagnes après que le bug soit devenu public, démontre l’importance pour les organisations d’appliquer des correctifs à leurs serveurs de messagerie le plus rapidement possible », a déclaré TAG.
« Ces campagnes mettent également en évidence la manière dont les attaquants surveillent les référentiels open source pour exploiter de manière opportuniste les vulnérabilités où le correctif se trouve dans le référentiel, mais n’est pas encore disponible pour les utilisateurs. »