La Cybersecurity and Infrastructure Security Agency (CISA) a averti les agences fédérales de corriger une faille de script intersite Zimbra Collaboration (ZCS) exploitée par des pirates russes pour voler des e-mails lors d’attaques ciblant les pays de NATO .

La vulnérabilité (CVE-2022-27926) a été exploitée par un groupe de piratage russe suivi sous le nom de Winter Vivern et TA473 dans des attaques contre plusieurs portails de messagerie Web de gouvernements alignés sur l’OTAN pour accéder aux boîtes aux lettres électroniques des fonctionnaires, des gouvernements, du personnel militaire et des diplomates.

Les attaques de Winter Vivern commencent par les pirates utilisant le scanner de vulnérabilité de l’outil Acunetix pour trouver les serveurs ZCS vulnérables et envoyer aux utilisateurs des e-mails de phishing qui usurpent les expéditeurs avec lesquels les destinataires sont familiers.

Chaque e-mail a redirigé les cibles vers des serveurs contrôlés par des attaquants qui exploitent le bogue CVE-2022-27926 ou tentent de tromper les destinataires pour qu’ils remettent leurs informations d’identification.

Lorsqu’elles sont ciblées par un exploit, les URL contiennent également un extrait de code JavaScript qui téléchargera une charge utile de deuxième étape pour lancer une attaque Cross-Site Request Forgery (CSRF) afin de voler les informations d’identification et les jetons CSRF des utilisateurs de Zimbra.

Dans les étapes suivantes, les acteurs de la menace ont utilisé les informations d’identification volées pour obtenir des informations sensibles des comptes de messagerie Web piratés ou maintenir la persistance pour suivre les e-mails échangés au fil du temps.

Les pirates peuvent également tirer parti des comptes compromis pour lancer davantage d’attaques de phishing et étendre leur infiltration des organisations ciblées.

Les agences fédérales ont reçu l’ordre de patcher jusqu’au 24 avril
La vulnérabilité a été ajoutée aujourd’hui au catalogue Known Exploited Vulnerabilities (KEV) de CISA, une liste de failles de sécurité connues pour être activement exploitées dans la nature.

Selon une directive opérationnelle contraignante (BOD 22-01) émise par l’agence américaine de cybersécurité en novembre 2021, les agences fédérales de l’exécutif civil civil (FCEB) doivent corriger les systèmes vulnérables sur leurs réseaux contre les bogues ajoutés à la liste KEV.

La CISA a donné aux agences FCEB trois semaines, jusqu’au 24 avril, pour sécuriser leurs réseaux contre les attaques qui cibleraient la faille CVE-2022-27926.

Bien que le BOD 22-01 ne s’applique qu’aux agences FCEB, la CISA a également vivement exhorté toutes les organisations à traiter ces bogues en priorité afin de bloquer d’autres tentatives d’exploitation.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti aujourd’hui la CISA.

Jeudi, la CISA a également ordonné aux agences fédérales de corriger les vulnérabilités de sécurité exploitées en tant que zero-days lors d’attaques récentes pour déployer des logiciels espions commerciaux sur les appareils mobiles Android et iOS, comme l’a récemment révélé le Threat Analysis Group (TAG) de Google.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *