Des chercheurs avertissent que des attaquants exploitent activement une vulnérabilité critique dans les serveurs de messagerie vendus par Zimbra dans le but d’exécuter à distance des commandes malveillantes permettant d’installer une porte dérobée.
La vulnérabilité, identifiée sous le nom CVE-2024-45519, se trouve dans le serveur de messagerie et de collaboration Zimbra utilisé par des organisations de taille moyenne et grande. Lorsqu’un administrateur modifie manuellement les paramètres par défaut pour activer le service postjournal, les attaquants peuvent exécuter des commandes en envoyant des courriels malformés à une adresse hébergée sur le serveur. Zimbra a récemment corrigé la vulnérabilité. Tous les utilisateurs de Zimbra doivent l’installer ou, à tout le moins, veiller à ce que le postjournal soit désactivé.
Facile, oui, mais fiable ?
Le mardi, le chercheur en sécurité Ivan Kwiatkowski a rapporté pour la première fois les attaques en cours, qu’il a qualifiées de “mass exploitation”. Il a indiqué que les courriels malveillants avaient été envoyés depuis l’adresse IP 79.124.49[.]86 et, lorsque l’attaque réussissait, tentaient d’exécuter un fichier hébergé à cette adresse en utilisant l’outil connu sous le nom de curl. Des chercheurs de la société de sécurité Proofpoint ont confirmé le rapport sur les réseaux sociaux plus tard dans la journée.
Le mercredi, des chercheurs en sécurité ont fourni des détails supplémentaires suggérant que les dommages liés à l’exploitation en cours étaient probablement contenus. Comme déjà noté, ils ont indiqué qu’un paramètre par défaut devait être changé, réduisant ainsi le nombre de serveurs vulnérables.
Le chercheur en sécurité Ron Bowes a rapporté que “le payload ne fait en fait rien : il télécharge un fichier (dans stdout) mais n’en fait rien”. Il a précisé que durant environ une heure plus tôt dans la journée, un serveur piège qu’il exploitait pour observer les menaces en cours avait reçu environ 500 demandes. Il a également signalé que le payload n’est pas délivré directement par courriel, mais plutôt par une connexion directe au serveur malveillant via SMTP, abréviation de Simple Mail Transfer Protocol.
“C’est tout ce que nous avons vu jusqu’à présent, cela ne semble pas vraiment être une attaque sérieuse”, a écrit Bowes. “Je vais rester vigilant et voir s’ils essaient autre chose !”
Dans un courriel envoyé mercredi après-midi, le chercheur de Proofpoint, Greg Lesnewich, a semblé largement d’accord pour affirmer que les attaques n’étaient probablement pas susceptibles de provoquer des infections massives pouvant installer des ransomwares ou des logiciels espions. Il a fourni les détails suivants :
- Bien que les tentatives d’exploitation que nous avons observées soient indiscriminées dans leurs cibles, nous n’avons pas constaté un grand volume d’essais d’exploitation.
- Sur la base de ce que nous avons recherché et observé, l’exploitation de cette vulnérabilité est très facile, mais nous n’avons aucune information sur la fiabilité de l’exploitation.
- L’exploitation est restée à peu près la même depuis que nous l’avons repérée pour la première fois le 28 septembre.
- Il existe un PoC disponible, et les tentatives d’exploitation semblent opportunistes.
- L’exploitation est géographiquement diversifiée et semble indiscriminée.
- Le fait que l’attaquant utilise le même serveur pour envoyer les courriels d’exploitation et héberger les payloads de deuxième étape indique que l’acteur ne dispose pas d’un ensemble d’infrastructure distribué pour envoyer les courriels d’exploitation et gérer les infections après une exploitation réussie. Nous nous attendrions à ce que le serveur de messagerie et les serveurs de payload soient des entités distinctes dans une opération plus mature.
- Les défenseurs protégeant les appareils Zimbra devraient surveiller les adresses CC ou To étranges qui semblent malformées ou contiennent des chaînes suspectes, ainsi que les journaux du serveur Zimbra indiquant des connexions sortantes vers des adresses IP distantes.
Proofpoint a expliqué que certains des courriels malveillants utilisaient plusieurs adresses électroniques qui, lorsqu’elles étaient collées dans le champ CC, tentaient d’installer une porte dérobée basée sur un webshell sur les serveurs Zimbra vulnérables. La liste complète des adresses CC était intégrée dans une seule chaîne et codée à l’aide de l’algorithme base64. Lorsqu’elles étaient combinées et converties en texte brut, elles créaient un webshell au chemin : /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.
En tant que journaliste, je reste vigilant et je m’efforce de tenir mes lecteurs informés des dernières menaces en matière de cybersécurité. Cette situation souligne l’importance d’une vigilance accrue et de bonnes pratiques en matière de sécurité pour tous les utilisateurs de logiciels critiques comme Zimbra.