Zimbra a exhorté les administrateurs aujourd’hui à corriger manuellement une vulnérabilité zero-day activement exploitée pour cibler et compromettre les serveurs de messagerie Zimbra Collaboration Suite (ZCS).
Cette plate-forme de messagerie et de collaboration largement adoptée est actuellement utilisée par plus de 200 000 entreprises dans 140 pays, dont plus de 1 000 organisations gouvernementales et financières dans le monde.
« Une vulnérabilité de sécurité dans la version 8.8.15 de Zimbra Collaboration Suite qui pourrait potentiellement avoir un impact sur la confidentialité et l’intégrité de vos données a fait surface. [..] Le correctif devrait être livré dans la version du correctif de juillet », a averti la société jeudi.
La faille de sécurité (actuellement dépourvue d’identifiant CVE) est un Cross-Site Scripting (XSS) réfléchi découvert et signalé par le chercheur en sécurité Clément Lecigne du Google Threat Analysis Group.
Dans le cadre des attaques XSS, les pirates pourraient voler des informations sensibles sur les utilisateurs ou exécuter du code malveillant sur des systèmes vulnérables.
Maddie Stone de Google TAG a tweeté aujourd’hui que cette vulnérabilité XSS reflétée avait été découverte alors qu’elle était exploitée dans une attaque ciblée.
Bien que Zimbra n’ait pas encore fourni de correctifs de sécurité pour résoudre ce zero-day activement exploité, il a fourni un correctif que les administrateurs peuvent appliquer manuellement pour supprimer le vecteur d’attaque.
« Pour maintenir le plus haut niveau de sécurité, nous vous demandons de bien vouloir coopérer pour appliquer le correctif manuellement sur tous vos nœuds de boîte aux lettres », a déclaré la société.
La procédure nécessaire pour atténuer manuellement la vulnérabilité sur tous les nœuds de boîte aux lettres nécessite que les administrateurs suivent les étapes suivantes :
- Faites une sauvegarde du fichier /opt/zimbra/jetty/webapps/zimbra/m/momoveto
- Modifiez ce fichier et allez à la ligne numéro 40
- Mettez à jour la valeur du paramètre sur
- Avant la mise à jour, la ligne apparaissait sous la forme
Le correctif peut être appliqué sans temps d’arrêt car un redémarrage du service Zimbra n’est pas nécessaire pour appliquer l’atténuation.
Les administrateurs doivent donner la priorité à l’atténuation de ce jour zéro, étant donné que plusieurs bogues Zimbra ont été explorés dans la nature pour violer des centaines de serveurs de messagerie vulnérables dans le monde ces dernières années.
Dès juin 2022, les bugs de contournement d’authentification et d’exécution de code à distance de Zimbra ont été exploités pour violer plus de 1 000 serveurs.
À partir de septembre 2022, les pirates ont commencé à exploiter une vulnérabilité RCE non corrigée dans Zimbra Collaboration Suite, compromettant près de 900 serveurs vulnérables en deux mois.
Le groupe de piratage russe Winter Vivern a également utilisé des exploits ciblant un autre bogue XSS reflété depuis février 2023 pour violer les portails de messagerie Web des gouvernements alignés sur l’OTAN et voler des boîtes aux lettres électroniques appartenant à des fonctionnaires, des gouvernements, du personnel militaire et des diplomates.