Deux semaines après la divulgation initiale, Zimbra a publié des mises à jour de sécurité qui corrigent une vulnérabilité zero-day exploitée dans des attaques ciblant les serveurs de messagerie Zimbra Collaboration Suite (ZCS).
Désormais identifiée comme CVE-2023-38750, la faille de sécurité est un Cross-Site Scripting (XSS) réfléchi découvert par le chercheur en sécurité Clément Lecigne du Google Threat Analysis Group.
Les attaques XSS constituent une menace importante, permettant aux pirates de voler des informations sensibles ou d’exécuter du code malveillant sur des systèmes vulnérables.
Bien que Zimbra n’ait pas indiqué que le jour zéro était également exploité dans la nature lorsqu’il a révélé la vulnérabilité pour la première fois et a exhorté les utilisateurs à la corriger manuellement, Maddie Stone de Google TAG a révélé que la vulnérabilité avait été découverte lors d’une attaque ciblée.
« Pour maintenir le plus haut niveau de sécurité, nous vous demandons de bien vouloir coopérer pour appliquer le correctif manuellement sur tous vos nœuds de boîte aux lettres », a déclaré Zimbra à l’époque, demandant aux administrateurs d’atténuer manuellement le bogue de sécurité.
Mercredi, deux semaines après la publication de l’avis initial, la société a publié ZCS 10.0.2, une version qui corrige également le bogue CVE-2023-38750, qui « pourrait entraîner l’exposition de fichiers JSP et XML internes ».
Un autre bug Zimbra XSS reflété a été exploité depuis au moins février 2023 par le groupe de piratage russe Winter Vivern pour violer les portails de messagerie Web des gouvernements alignés sur l’OTAN et voler les e-mails des responsables gouvernementaux, du personnel militaire et des diplomates.
Les agences fédérales invitées à corriger dans les trois semaines
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a averti aujourd’hui les agences fédérales américaines de sécuriser leurs systèmes contre les attaques CVE-2023-38750.
L’agence a ajouté cette vulnérabilité à son catalogue de vulnérabilités exploitées connues, qui oblige les agences fédérales de l’exécutif civil civil (FCEB) à corriger les serveurs de messagerie ZCS vulnérables sur leurs réseaux conformément à la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021.
La CISA a également fixé un délai de trois semaines pour la mise en conformité, leur ordonnant d’atténuer la faille sur tous les appareils non corrigés d’ici le 17 août.
Bien que le catalogue se concentre principalement sur les agences fédérales américaines, il est également fortement conseillé aux entreprises privées de hiérarchiser et de mettre en œuvre des correctifs pour toutes les vulnérabilités répertoriées dans le catalogue des bogues exploités de CISA.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti aujourd’hui la CISA.
Ce mardi, la CISA a également ordonné aux agences fédérales américaines de corriger un bogue de contournement d’authentification dans Endpoint Manager Mobile (EPMM) d’Ivanti, anciennement MobileIron Core, qui a été abusé comme un jour zéro pour pirater une plate-forme logicielle utilisée par 12 ministères norvégiens.