Zimbra Collaboration Suite a eu une vulnérabilité zero-day pendant plus d'un mois, offrant aux pirates une véritable journée sur le terrain, entraînant le piratage de près de 900 serveurs (ouvre dans un nouvel onglet).
Les chercheurs de Kaspersky ont remarqué la vulnérabilité signalée sur le forum Zimbra, après quoi toutes sortes de groupes de menaces persistantes avancées (APT) l'ont exploitée pour compromettre d'innombrables serveurs.
Kaspersky a qualifié la faille de vulnérabilité d'exécution de code à distance qui permet aux pirates d'envoyer un e-mail contenant un fichier malveillant qui implémente un webshell sur le serveur Zimbra sans déclencher d'alarme antivirus. Il est maintenant suivi en tant que CVE-2022-41352. Certains chercheurs affirment que jusqu'à 1.600 XNUMX serveurs ont été compromis en conséquence.
CPIO retraité
Les chercheurs ont déclaré plus tard qu'au moins 876 serveurs avaient été compromis avant qu'une solution de contournement ne soit partagée et qu'un correctif ne soit publié. Cependant, près de deux mois après le rapport initial, et juste au moment où Zimbra était sur le point de publier un correctif, Volexity a déclaré que quelque 1600 XNUMX serveurs étaient compromis.
Zimbra a ensuite publié le correctif, portant son package de collaboration (s'ouvre dans un nouvel onglet) à la version 9.0.0 P27. Dans ce document, la société a remplacé le composant défectueux (cpio) par Pax et a supprimé le code exploitable.
Les premières attaques ont débuté en septembre 2022 et ont ciblé des serveurs en Inde et en Turquie. Les premiers raids ont été menés contre des cibles « à faible intérêt », ce qui a amené les chercheurs à conclure que les pirates ne faisaient que tester les capacités de la faille, avant de s'attaquer à des cibles plus lucratives. Cependant, après que la vulnérabilité a été révélée publiquement, les acteurs malveillants ont accéléré le rythme pour l'utiliser autant que possible, avant que Zimbra ne publie un correctif.
Les administrateurs système qui ne sont pas en mesure d'appliquer le correctif immédiatement sont invités à essayer au moins d'installer la solution de contournement, car le nombre d'acteurs malveillants exploitant activement la vulnérabilité dans la nature reste élevé.
Via : BleepingComputer (Ouvre dans un nouvel onglet)