Zimbra n’en finit plus d’essuyer les alertes sur des failles exploitées. En février dernier, une faille zero-day a été exploitée dans des attaques contre des médias et gouvernements européens. Début octobre, une autre vulnérabilité CVE-2022-41352 non corrigée a servi à écraser ou télécharger des fichiers, voire aller jusqu'à écrabouiller la racine Web Zimbra. Ce 19 octobre, selon une mise à jour publiée conjointement par l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC), les acteurs de la menace exploitent activement plusieurs vulnérabilités et expositions communes (CVE) contre la plateforme de messagerie et de logiciel de collaboration hébergée dans le cloud, Zimbra Collaboration Suite (ZCS).
La dernière mise à jour énumère les CVE actuellement exploitées sur la base du dernier rapport d'analyse des logiciels malveillants, MAR-10398871.r1.v2, et avertit que les cybercriminels peuvent cibler des instances ZCS non corrigées dans les réseaux des secteurs public et privé. Ces failles peuvent permettre le vol d'informations d'identification et de cookies de session, ainsi que le téléchargement de fichiers arbitraires.
Des CVE de niveau élevé et critique dans la liste
Ici, les CVE énumérées dans la CSA comprennent une vulnérabilité critique et plusieurs de niveau élevé. Les entreprises sont donc invitées à redoubler de vigilance :
CVE-2022-27924 : avec un score de 7,5, cette vulnérabilité est classée comme élevée. Elle permet à un acteur malveillant non authentifié d'injecter des commandes memcache arbitraires dans une instance ZCS ciblée et de provoquer un écrasement d'entrées arbitraires en cache. L'attaquant pourrait alors voler les informations d'identification d'un compte de messagerie ZCS en clair sans aucune interaction avec l'utilisateur.
CVE-2022-27925 (liée à la CVE-2022-37042 classée comme critique avec un score de 9,8) : détectée dans les versions 8.8.15 et 9.0 de ZCS qui ont la fonctionnalité mboximport pour recevoir une archive ZIP et en extraire des fichiers, cette faille a un score de 7,2 (élevé). Un utilisateur authentifié a la possibilité de télécharger des fichiers arbitraires sur le système, ce qui conduit à une traversée de répertoire.
CVE-2022-30333 : cette vulnérabilité de traversée de répertoire dans RARLAB UnRAR sur Linux et UNIX, classée comme élevée (7,5), permet à un acteur malveillant d'écrire dans des fichiers pendant une opération d'extraction (unpack). Un acteur malveillant pourrait l'exploiter contre un serveur ZCS en envoyant un courriel contenant un fichier RAR malveillant.
CVE-2022-24682 : une vulnérabilité de gravité modérée (notée 6,1) qui affecte les clients de messagerie Web ZCS exécutant des versions antérieures à 8.8.15 patch 30 (mise à jour 1), qui contiennent une vulnérabilité XSS (cross-site scripting) permettant à des acteurs malveillants de voler des fichiers de cookies de session.
Dans son rapport d'analyse des logiciels malveillants, la CSA indique que le CISA a reçu un fichier exécutable Windows 32-bits bénin, une bibliothèque de liens dynamiques (DLL) malveillante et un fichier chiffré pour analyse d'une organisation où les cybercriminels ont exploité les vulnérabilités ci-dessus. « Le fichier exécutable est conçu pour charger latéralement le fichier DLL malveillant », peut-on lire. « La DLL est conçue pour charger et déchiffrer par OU exclusif (XOR) le fichier chiffré. Le fichier déchiffré contient un binaire Cobalt Strike Beacon. Le Cobalt Strike Beacon est un implant malveillant sur un système compromis qui rappelle le serveur de commande et de contrôle (C2) et vérifie les commandes supplémentaires à exécuter sur le système compromis ».
Les organisations sont invitées à présumer de la compromission et à traquer les activités malveillantes
Le CISA et le MS-ISAC ont exhorté les utilisateurs et les administrateurs à appliquer des mesures d'atténuation pour aider à sécuriser les systèmes de leur organisation contre les cyberactivités malveillantes. Ils ont également encouragé les entreprises qui n'ont pas immédiatement mis à jour leurs instances ZCS lors de la publication du correctif, ou dont les instances ZCS étaient exposées à l'Internet, à assumer la compromission et à rechercher les activités malveillantes. Le CSA recommande aux organisations de mettre à jour leurs instances ZCS avec les dernières versions, comme indiqué sur Zimbra Security - News & Alerts et Zimbra Security Advisories. Elle conseille également les meilleures pratiques suivantes pour réduire le risque de compromission : tout d'abord, maintenir et tester un plan de réponse aux incidents. S’assurer que son organisation a mis en place un programme de gestion des vulnérabilités et qu'elle donne la priorité à la gestion des correctifs et à l'analyse des vulnérabilités exploitées connues. Configurer et sécuriser correctement les périphériques réseaux tournés vers Internet pour éviter d'exposer les interfaces de gestion à Internet, désactiver les ports et protocoles réseau inutilisés ou superflus, et désactiver/supprimer les services et périphériques réseaux inutilisés. Enfin, elle propose d'adopter les principes et l'architecture du zero-trust, notamment la micro-segmentation des réseaux et des fonctions, l'authentification multifactorielle (MFA) résistante au phishing pour tous les utilisateurs et les connexions aux réseaux privés virtuels (VPN), et la restriction de l'accès aux dispositifs et utilisateurs de confiance sur les réseaux.
Les organisations qui détectent une compromission ou une compromission potentielle doivent appliquer les mesures suivantes, poursuit l'avis : collecter et examiner les artefacts, tels que les processus/services en cours d'exécution, les authentifications inhabituelles et les connexions réseau récentes. Mettre en quarantaine ou mettre hors ligne les hôtes potentiellement affectés. Réimprimer les hôtes compromis. Fournir de nouvelles informations d'identification de compte. Signaler la compromission au CISA par l'intermédiaire du centre d'opérations 24/7 du CISA (report@cisa.gov). Les entités gouvernementales du SLTT peuvent également faire un rapport au MS-ISAC (SOC@cisecurity.org).
« Les outils seuls ne sont pas suffisants »
Fernando Montenegro, analyste principal principal chez Omdia, a déclaré que les conseils mis à jour aideront les équipes de sécurité surchargées à donner la priorité à certains correctifs plutôt qu'à d'autres. « Pourtant, l'application de correctifs est une tâche sisyphéenne, et ce n'est jamais aussi simple qu'il n'y paraît, en particulier lorsqu'il s'agit d'applications susceptibles d'interrompre le flux des activités quotidiennes ». Les organisations qui cherchent à se sécuriser contre les menaces doivent avoir une visibilité sur le trafic réel qui atteint les applications, ajoute-t-il.
« Les signatures de détection d'intrusion sont écrites sur la base des requêtes HTTP, la visibilité de type couche 7 est donc essentielle. Les outils seuls ne sont pas suffisants, bien sûr : nous recommandons aux organisations de disposer d'une capacité plus large de détection, d'investigation et de réponse aux menaces (TDIR) - soit en interne, soit en faisant appel à des partenaires - qui puisse surveiller les choses en permanence et réagir si nécessaire » conclut Fernando Montenegro.