Dans une récente révélation du Google Thrat Analysis Group (ÉTIQUETTE), un critique zero-day une faille dans le logiciel de messagerie Zimbra Collaboration est devenue le point central de cyberattaques réelles. Exploité par quatre acteurs malveillants distincts, ces attaques visant à voler des données de messagerie sensibles, informations d'identification utilisateur, et les jetons d'authentification ont suscité des inquiétudes parmi les experts en cybersécurité.
La vulnérabilité CVE-2023-37580
Suivi comme CVE-2023-37580, la faille est un cross-site scripting réfléchi (XSS) vulnérabilité affectant les versions de Zimbra avant 8.8.15 Pièce 41. Découvert et rapporté par le chercheur du TAG Clément Lecigne, la vulnérabilité a été corrigée par Zimbra via des correctifs publiés en juillet 25, 2023.
Comment fonctionne la faille
La vulnérabilité permet l'exécution de scripts malveillants sur les victimes’ navigateurs Web en les incitant à cliquer sur une URL spécialement conçue. Cela déclenche une requête XSS vers Zimbra, reflétant l'attaque vers l'utilisateur et permettant potentiellement à l'attaquant d'exécuter des actions malveillantes.
Chronologie des attaques
Google TAG a découvert plusieurs vagues de campagnes basées sur CVE-2023-37580 à partir de juin 29, 2023, deux semaines avant que Zimbra ne publie un avis. Trois des quatre campagnes ont été lancées avant la sortie du correctif, soulignant l'urgence de mises à jour en temps opportun. La quatrième campagne a été détectée un mois après que les correctifs ont été rendus publics.
Détails de la campagne
- TEMP_HERETIC: La première campagne ciblait une organisation gouvernementale en Grèce, envoi d'e-mails contenant des URL d'exploit menant à la diffusion de logiciels malveillants voleurs d'e-mails.
- Viverne d'hiver: Cet acteur malveillant s'est concentré sur les organisations gouvernementales en Moldavie et en Tunisie peu de temps après que le correctif de vulnérabilité a été transféré sur GitHub en juillet. 5. Winter Vivern a déjà été associé à l'exploitation de failles de sécurité dans Zimbra Collaboration et Roundcube..
- Groupe non identifié au Vietnam: Avant la sortie du patch en juillet 25, un tiers, un groupe non identifié a exploité la faille pour pirater les informations d'identification d'une organisation gouvernementale au Vietnam. Les attaquants ont utilisé une page de phishing pour collecter des informations d'identification de messagerie Web et ont publié les informations d'identification volées sur une URL d'un domaine gouvernemental officiel..
- Cibler le Pakistan: En août 25, une organisation gouvernementale au Pakistan a été victime de la faille, entraînant l'exfiltration des jetons d'authentification Zimbra vers un domaine distant nommé “ntcpk[.]org.”
Google TAG a souligné la tendance des acteurs malveillants à exploiter les vulnérabilités XSS des serveurs de messagerie., soulignant la nécessité d'audits approfondis de ces applications. La découverte de quatre campagnes exploitant CVE-2023-37580, même après que la faille ait été rendue publique, souligne l'importance pour les organisations d'appliquer rapidement des correctifs à leurs serveurs de messagerie.
Conclusion
La vulnérabilité Zero Day de Zimbra CVE-2023-37580 a exposé les organisations à des attaques ciblées., démontrant l'importance de mesures de cybersécurité robustes et la nécessité d'une adoption rapide des correctifs. À mesure que les cybermenaces évoluent, mesures de sécurité proactives, audits réguliers, et l'application rapide des mises à jour sont essentielles à la protection des informations sensibles et au maintien de l'intégrité des plateformes de communication..