La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a élargi son catalogue de vulnérabilités exploitées connues pour inclure une faille zero-day récemment révélée dans la plate-forme de messagerie Zimbra, citant des preuves d’exploitation active dans la nature.
Suivi en tant que CVE-2022-24682 (score CVSS : 6,1), le problème concerne une vulnérabilité de script intersite (XSS) dans la fonctionnalité Calendrier de Zimbra Collaboration Suite qui pourrait être exploitée par un attaquant pour inciter les utilisateurs à télécharger simplement du code JavaScript arbitraire. en cliquant sur un lien pour exploiter les URL dans les messages de phishing.
Le catalogue des vulnérabilités exploitées connues est un référentiel de failles de sécurité qui ont été vues abusées par des acteurs de la menace lors d’attaques et qui doivent être corrigées par les agences du Federal Civilian Executive Branch (FCEB).
La vulnérabilité a été révélée le 3 février 2022, lorsque la société de cybersécurité Volexity a identifié une série de campagnes de harponnage ciblées visant les gouvernements européens et les entités médiatiques qui ont exploité la faille susmentionnée pour obtenir un accès non autorisé aux boîtes aux lettres des victimes et planter des logiciels malveillants.
Volexity suit l’acteur sous le nom de « TEMP_HERETIC », les attaques affectant l’édition open-source de Zimbra exécutant la version 8.8.15. Zimbra a depuis publié un correctif (version 8.8.15 P30) pour corriger la faille.
En raison de l’impact potentiel de cette vulnérabilité, la CISA a donné aux agences fédérales jusqu’au 11 mars 2022 pour appliquer les mises à jour de sécurité. En plus de CVE-2022-24682, CISA a également ajouté les trois vulnérabilités suivantes au catalogue –
CVE-2017-8570 (score CVSS : 7,8) – Vulnérabilité d’exécution de code à distance dans Microsoft Office
CVE-2017-0222 (score CVSS : 7,5) – Vulnérabilité de corruption de mémoire dans Microsoft Internet Explorer
CVE-2014-6352 (score CVSS : N/A) – Vulnérabilité d’injection de code Microsoft Windows