Un Actif! La vulnérabilité d’exécution de code à distance zero-day de Mail est activement exploitée dans les attaques contre de grandes organisations au Japon.
Actif! mail est un client de messagerie basé sur le Web développé initialement par TransWARE et acquis plus tard par Qualitia, les deux sociétés japonaises.
Bien qu’il ne soit pas largement utilisé dans le monde entier comme Gmail ou Outlook, Actif! est souvent utilisé comme composant de groupware dans les environnements en japonais des grandes entreprises, des universités, des agences gouvernementales et des banques.
Selon le vendeur, Actif! est utilisé dans plus de 2 250 organisations, avec plus de 11 000 000 de comptes, ce qui en fait un acteur important sur le marché du webmail d’entreprise du pays.
À la fin de la semaine dernière, Qualitia a publié un bulletin de sécurité sur une vulnérabilité de débordement de tampon basée sur la pile suivie sous CVE-2025-42599 (score CVSS v3: 9,8, « critique ») affectant toutes les versions d’Active! jusqu’à et y compris ‘BuildInfo: 6.60.05008561’ sur toutes les plates-formes de système d’exploitation prises en charge.
« Si une requête malveillante est envoyée par un tiers distant, il y a une possibilité d’exécution de code arbitraire ou de déclenchement d’une condition de déni de service (DoS) », lit-on dans le bulletin.
Bien que Qualitia mentionne avoir enquêté pour savoir si la faille a été exploitée, le CERT japonais a confirmé son statut d’exploitation active, exhortant tous les utilisateurs à passer à Active! Mail 6 BuildInfo: 6.60.06008562 dès que possible.
Le fournisseur japonais d’hébergement Web et de services informatiques (PME) Kagoya Japan a signalé plusieurs attaques externes au cours du week-end, l’incitant à suspendre temporairement le service.
« Nous soupçonnons que ce problème est lié à une vulnérabilité divulguée par QUALITIA (le développeur) », lit-on dans le bulletin Kagoya publié précédemment.
Une panne de service similaire à la suite de tentatives d’exploitation présumées a également été signalée par le fournisseur d’hébergement Web et de services informatiques WADAX.
« À ce stade, nous ne pouvons pas encore garantir l’utilisation sûre du service pour nos clients », a annoncé WADAX.
« Par conséquent, la sécurité des clients étant notre priorité absolue, nous avons temporairement suspendu l’Actif! service de courrier par précaution. »
Le chercheur en sécurité de Macnica, Yutaka Sejiyama, a déclaré à Breachtrace qu’au moins 227 Actifs exposés à Internet! des serveurs potentiellement exposés à ces attaques, dont 63 utilisés dans les universités.
Le CERT japonais a proposé des mesures d’atténuation spécifiques pour ceux qui ne peuvent pas appliquer la mise à jour de sécurité immédiatement, notamment la configuration du pare-feu d’application Web (WAF) pour activer l’inspection du corps de la requête HTTP et bloquer les en-têtes multipart/form-data si leur taille dépasse un certain seuil.