Le Threat Analysis Group (TAG) de Google a découvert que des acteurs malveillants exploitaient une vulnérabilité Zero Day dans le serveur de messagerie Zimbra Collaboration pour voler des données sensibles des systèmes gouvernementaux de plusieurs pays.
Les pirates ont exploité un problème de sécurité de gravité moyenne désormais identifié comme CVE-2023-37580 depuis le 29 juin, près d’un mois avant que le fournisseur ne le résolve dans la version 8.8.15 Patch 41 du logiciel le 25 juillet.
La faille est un problème XSS (cross-site scripting) présent dans le client Web Zimbra Classic.
Chronologie des attaques et des réponses
Selon les analystes des menaces de Google, les auteurs de la menace ont exploité la vulnérabilité des systèmes gouvernementaux en Grèce, en Moldavie, en Tunisie, au Vietnam et au Pakistan pour voler des données de courrier électronique, des identifiants d’utilisateur et des jetons d’authentification, effectuer des transferts de courrier électronique et diriger les victimes vers des pages de phishing.
Google a observé quatre acteurs malveillants distincts utilisant la vulnérabilité inconnue au moment de son exploitation fin juin 2023 contre une organisation gouvernementale en Grèce.
Les attaquants ont envoyé des e-mails avec une URL malveillante qui a permis l’exfiltration des données de courrier électronique et le transfert automatique vers une adresse contrôlée par l’attaquant.
Zimbra a déployé un correctif d’urgence sur GitHub après que les analystes de Google ont alerté l’entreprise des compromissions observées.
La deuxième campagne a été menée le 11 juillet par un acteur menaçant identifié sous le nom de « Winter Vivern », qui a ciblé des organisations gouvernementales en Moldavie et en Tunisie. Dans ce cas, les URL d’exploit chargeaient du JavaScript malveillant sur les systèmes cibles.
Le 13 juillet, Zimbra a publié un avis de sécurité recommandant des mesures d’atténuation pour la vulnérabilité, mais il n’y avait aucune note indiquant que des pirates informatiques exploitaient activement le bug.
Une troisième campagne a débuté le 20 juillet par un groupe menaçant non identifié ciblant une organisation gouvernementale vietnamienne. Ces attaques utilisaient une URL d’exploit pour diriger les victimes vers une page de phishing.
Cinq jours plus tard, Zimbra a finalement publié un correctif officiel pour CVE-2023-37580, omettant toujours des informations sur l’exploitation active.
Google note que les trois acteurs malveillants ont exploité la vulnérabilité avant la publication du correctif officiel.
Lors d’une quatrième campagne le 25 août, un acteur malveillant qui a probablement découvert le bug après que le fournisseur l’ait corrigé, le bug a été exploité sur les systèmes d’une organisation gouvernementale pakistanaise pour voler des jetons d’authentification Zimbra.
Le rapport de Google ne divulgue pas beaucoup de détails sur les attaquants, mais rappelle néanmoins l’importance des mises à jour de sécurité en temps opportun, même lorsqu’elles concernent des vulnérabilités de gravité moyenne, car les adversaires déjà présents sur le système peuvent les utiliser pour poursuivre leur attaque.
L’exploitation de CVE-2023-37580 est l’un des multiples exemples de failles XXS exploitées pour attaquer les serveurs de messagerie, comme CVE-2022-24682 et CVE-2023-5631, qui impactent Zimbra et Roundcube.