Jeudi, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) ajoutée deux défauts à son Catalogue des vulnérabilités exploitées connuescitant des preuves d’exploitation active.
Les deux problèmes de haute gravité sont liés aux faiblesses de Zimbra Collaboration, qui pourraient toutes deux être enchaînées pour obtenir une exécution de code à distance non authentifiée sur les serveurs de messagerie concernés –
- CVE-2022-27925 (score CVSS : 7,2) – Exécution de code à distance (RCE) via mboximport à partir d’un utilisateur authentifié (corrigé dans versions 8.8.15 Patch 31 et 9.0.0 Patch 24 publiés en mars)
- CVE-2022-37042 – Contournement de l’authentification dans MailboxImportServlet (corrigé dans versions 8.8.15 Patch 33 et 9.0.0 Patch 26 publiés en août)
« Si vous utilisez une version de Zimbra antérieure à Zimbra 8.8.15 patch 33 ou Zimbra 9.0.0 patch 26, vous devez mettre à jour le dernier patch dès que possible, » Zimbra averti plus tôt cette semaine.
CISA n’a partagé aucune information sur les attaques exploitant les failles mais la société de cybersécurité Volexity décrit exploitation massive à l’état sauvage d’instances Zimbra par un acteur malveillant inconnu.
En un mot, les attaques impliquent de profiter de la faille de contournement d’authentification susmentionnée pour obtenir l’exécution de code à distance sur le serveur sous-jacent en téléchargeant des fichiers arbitraires.
Volexity a déclaré « qu’il était possible de contourner l’authentification lors de l’accès au même point de terminaison (mboximport) utilisé par CVE-2022-27925 », et que la faille « pourrait être exploitée sans informations d’identification administratives valides, rendant ainsi la vulnérabilité beaucoup plus critique en gravité ».
Il a également identifié plus de 1 000 instances dans le monde qui ont été piratées et compromises à l’aide de ce vecteur d’attaque, dont certaines appartiennent à des départements gouvernementaux et des ministères ; branches militaires; et des entreprises avec des milliards de dollars de revenus.
Les attaques, qui se sont produites aussi récemment que fin juin 2022, impliquaient également le déploiement de shells Web pour maintenir un accès à long terme aux serveurs infectés. Les principaux pays avec les instances les plus compromises sont les États-Unis, l’Italie, l’Allemagne, la France, l’Inde, la Russie, l’Indonésie, la Suisse, l’Espagne et la Pologne.
« CVE-2022-27925 était à l’origine répertorié comme un exploit RCE nécessitant une authentification », a déclaré Volexity. « Combiné avec un bogue séparé, cependant, il est devenu un exploit RCE non authentifié qui a rendu l’exploitation à distance triviale. »
La divulgation intervient une semaine après que CISA a ajouté un autre bogue lié à Zimbra, CVE-2022-27924, au catalogue, qui, s’il est exploité, pourrait permettre aux attaquants de voler les informations d’identification en clair des utilisateurs des instances ciblées.