Des attaquants exploitent une vulnérabilité critique de Zimbra en utilisant des adresses électroniques en copie conforme

2024-10-02 21:50:28Attackers exploit critical Zimbra vulnerability using cc’d email addresses

Lorsqu’elles réussissent, les attaques installent une porte dérobée. La faire fonctionner de manière fiable est une autre affaire.

Des attaquants exploitent activement une vulnérabilité critique dans les serveurs de messagerie vendus par Zimbra pour tenter d’exécuter à distance des commandes malveillantes qui installent une porte dérobée, avertissent des chercheurs.

La vulnérabilité, répertoriée sous le nom de CVE-2024-45519, réside dans le Serveur de messagerie et de collaboration Zimbra utilisé par les moyennes et grandes entreprises. Lorsqu’un administrateur modifie manuellement les paramètres par défaut pour activer le service postjournal, les attaquants peuvent exécuter des commandes en envoyant des courriels malicieusement formés à une adresse hébergée sur le serveur. Zimbra a récemment corrigé la vulnérabilité. Tous les utilisateurs de Zimbra devraient l’installer ou, au minimum, s’assurer que le service postjournal est désactivé.

Facile, oui, mais fiable ?

Mardi, le chercheur en Sécurité Ivan Kwiatkowski a signalé pour la première fois les attaques en cours, qu’il a décrites comme une « exploitation de masse ». Il a indiqué que les courriels malveillants étaient envoyés par l’adresse IP 79.124.49[.]86 et, lorsqu’ils aboutissaient, tentaient d’exécuter un fichier hébergé à cet endroit à l’aide de l’outil connu sous le nom de curl. Des chercheurs de la société de sécurité Proofpoint se sont rendus sur les médias sociaux plus tard dans la journée pour confirmer le rapport.

Mercredi, les chercheurs en sécurité ont fourni des détails supplémentaires qui suggèrent que les dommages causés par l’exploitation en cours sont susceptibles d’être contenus. Comme ils l’ont déjà indiqué, un paramètre par défaut doit être modifié, ce qui devrait permettre de réduire le nombre de serveurs vulnérables.

Le chercheur en sécurité Ron Bowes a poursuivi en indiquant que « la charge utile ne fait rien en réalité – elle télécharge un fichier (sur stdout) mais n’en fait rien ». Il a indiqué qu’en l’espace d’une heure environ, mercredi dernier, un serveur « honey pot » qu’il gère pour observer les menaces en cours a reçu environ 500 requêtes. Il a également indiqué que la charge utile n’était pas transmise directement par courrier électronique, mais par une connexion directe au serveur malveillant via le Protocole SMTP, abréviation de Simple Mail Transfer Protocol (protocole de transfert de courrier simple).

« C’est tout ce que nous avons vu (jusqu’à présent), cela ne semble pas vraiment être une attaque sérieuse », a écrit M. Bowes. « Je vais garder l’œil ouvert et voir s’ils essaient autre chose !

Dans un courriel envoyé mercredi après-midi, Greg Lesnewich, chercheur chez Proofpoint, a semblé largement d’accord sur le fait que les attaques n’étaient pas susceptibles de conduire à des infections massives pouvant installer des ransomwares ou des logiciels malveillants d’espionnage. Le chercheur a fourni les détails suivants :

  • Bien que les tentatives d’exploitation que nous avons observées aient été ciblées sans discernement, nous n’avons pas vu un grand nombre de tentatives d’exploitation
  • D’après nos recherches et nos observations, l’exploitation de cette vulnérabilité est très facile, mais nous ne disposons d’aucune information sur le degré de fiabilité de l’exploitation.
  • L’exploitation est restée à peu près la même depuis que nous l’avons repérée pour la première fois le 28 septembre.
  • Un PoC est disponible et les tentatives d’exploitation semblent opportunistes.
  • L’exploitation est géographiquement diversifiée et semble aveugle.
  • Le fait que l’attaquant utilise le même serveur pour envoyer les courriels d’exploitation et héberger les charges utiles de deuxième étape indique que l’acteur ne dispose pas d’un ensemble distribué d’infrastructures pour envoyer les courriels d’exploitation et gérer les infections après une exploitation réussie. Nous nous attendrions à ce que le serveur de courrier électronique et les serveurs de charges utiles soient des entités différentes dans le cadre d’une opération plus mature.
  • Les défenseurs qui protègent les appareils Zimbra devraient être attentifs aux adresses CC ou To étranges qui semblent malformées ou qui contiennent des chaînes de caractères suspectes, ainsi qu’aux journaux du serveur Zimbra qui indiquent des connexions sortantes vers des adresses IP distantes.

Proofpoint a expliqué que certains des courriels malveillants utilisaient plusieurs adresses électroniques qui, lorsqu’elles étaient collées dans le champ CC, tentaient d’installer une porte dérobée basée sur webshell sur des serveurs Zimbra vulnérables. La liste CC complète était enveloppée dans une seule chaîne et encodée à l’aide de l’algorithme base64. Une fois combinée et reconvertie en texte clair, elle crée un webshell au niveau du chemin d’accès : /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp.

Proofpoint poursuit : « Une fois installé, le webshell écoute les connexions entrantes avec un champ de cookie JSESSIONID prédéterminé ; s’il est présent, le webshell analyse alors le cookie JACTION pour les commandes base64. Le webshell prend en charge l’exécution de commandes via exec ou le téléchargement et l’exécution d’un fichier via une connexion socket. »

Proofpoint a déclaré avoir détecté les attaques pour la première fois le 28 septembre. Un jour plus tôt, des chercheurs de Project Discovery ont procédé à une rétro-ingénierie du correctif publié par Zimbra et ont publié un exploit de preuve de concept qui en démontrait le fonctionnement.

Un article de Project Discovery indique que les chercheurs ont pu exploiter la vulnérabilité dans leur laboratoire à l’aide d’un courriel contenant ce qui suit :

EHLO localhost
MAIL FROM: <aaaa@mail.domain.com>
RCPT TO: <"aabbb;touch${IFS}/tmp/pwn;"@mail.domain.com>
DATA
aaa
.</aaaa@mail.domain.com>

Toutefois, ils ont indiqué que leur exploit n’était pas fiable.

« Initialement, nous avons effectué ce Test sur notre propre serveur Zimbra pour prouver le bien-fondé du concept », écrivent les chercheurs. « Cependant, lorsque nous avons tenté d’exploiter la vulnérabilité à distance sur Internet, nous avons rencontré des échecs. »

Malgré les facteurs atténuants, CVE-2024-45519 reste une menace potentielle car les attaques s’améliorent souvent avec le temps, au fur et à mesure que d’autres personnes les testent. Toute personne utilisant Zimbra devrait installer le correctif dès que possible et s’assurer que postjournal n’est activé qu’en cas de besoin.

Jad Marchy
+ posts

Jad MARCHI est un ardent défenseur de la technologie, passionné par son potentiel de transformation. Ayant accumulé une décennie d’expérience dans le secteur technologique, Jean a travaillé sur une variété de projets innovants qui l’ont amené à comprendre le paysage changeant de ce domaine. Il est fasciné par l’évolution rapide de la technologie et son impact sur notre société. Que ce soit l’intelligence artificielle, la robotique, la blockchain ou la cybersécurité, il est toujours à la recherche des dernières tendances. Ses articles cherchent à informer, à inspirer et à provoquer des réflexions sur la façon dont la technologie façonne notre avenir.

Back to Top
close

Log In

Forgot password?

Forgot password?

Enter your account data and we will send you a link to reset your password.

Your password reset link appears to be invalid or expired.

Log in

Privacy Policy

Add to Collection

No Collections

Here you'll find all collections you've created before.

Hey Friend!
Before You Go…

Get the best viral stories straight into your inbox before everyone else!

Don't worry, we don't spam

Close
Close