AccueilSécuritéAttaques ciblées sur la faille zero-day de Zimbra

Attaques ciblées sur la faille zero-day de Zimbra

Depuis décembre déjà, des pirates exploitent de manière très ciblée une faille de sécurité dans le logiciel de collaboration Zimbra, rapporte l’entreprise de sécurité Volexity. L’éditeur a certes été informé en décembre, mais il n’a pas encore fourni de correctif ou d’autres mesures de protection.

La faille est un problème de cross-site scripting (XSS). L’attaque se déroule typiquement de la manière suivante : la victime reçoit un e-mail avec un lien. Si le destinataire ouvre ce lien dans son navigateur alors qu’il est déjà connecté à Zimbra dans une autre fenêtre ou un autre onglet, la catastrophe suit son cours. Le site web de l’agresseur exécute un code de script qui peut accéder à la fenêtre Zimbra en raison de l’erreur XSS.

Dans ce contexte, le courrier peut également être ouvert dans un vrai programme de messagerie comme Thunderbird ; l’important est que la page web de l’agresseur et une session Zimbra soient actives dans le même navigateur. Typiquement, les pirates utilisent concrètement cette méthode pour accéder aux e-mails et à leurs pièces jointes. Mais en principe, il serait également possible d’envoyer des e-mails au nom de la victime ou de voler des cookies permettant un accès permanent au compte Zimbra, explique Volexity dans son analyse.

Volexity observe depuis le 14 décembre des attaques très ciblées via cette faille, qu’elle attribue à un groupe nommé TEMP_Heretic. Selon Volexity, l’éditeur de Zimbra en a été informé dès le 16 décembre, avec une démonstration d’exploit illustrant le problème. Malgré cela, il n’y a pas encore eu de mise à jour de sécurité ou au moins d’avis de Zimbra. Volexity a maintenant publié les faits.

Les parallèles avec une faille de sécurité critique dans Microsoft Exchange, dont Zimbra est le concurrent, sont piquants. Là aussi, Volexity avait informé le fabricant en décembre d’attaques ciblées via une faille zero-day ; Microsoft ne voulait toutefois pas la combler avant le Patchday en mars. Il s’en est suivi des attaques massives qui ont pris la plupart des serveurs Exchange au dépourvu. Maintenant, Zimbra est loin d’être aussi répandu qu’Exchange et les failles XSS ne sont pas aussi graves. Néanmoins, la situation actuelle est inquiétante.

Ceux qui veulent protéger leur serveur Zimbra n’ont actuellement pas beaucoup de possibilités. Selon Volexity, la version 8.8.15 de Zimbra est concernée, tandis que la version 9.0.0, encore assez récente, semble être immunisée. Une mise à jour de la version pourrait donc mettre le serveur hors de la ligne de mire. En outre, l’entreprise de sécurité décrit les attaques de manière très détaillée dans Operation EmailThief : Active Exploitation of Zero-day XSS Vulnerability in Zimbra et fournit également des indicateurs de compromission spécifiques qui permettraient de se préparer à d’éventuelles attaques par TEMP_Heretic. Le problème est que ces informations deviennent caduques si d’autres attaquants découvrent la faille à leur profit et l’exploitent.

Il serait préférable que le fabricant élabore des mesures concrètes de protection et les mette à disposition dans son Security Center. Or, au moment de la publication de l’article, il se contente d’y déclarer que Zimbra n’est pas concerné par Log4j.

Plus d'articles