Les chercheurs de Kaspersky ont déclaré s’attendre à une troisième vague d’attaques sur des serveurs non corrigés après qu’une récente preuve de concept d’une vulnérabilité qui pourrait permettre l’exécution de code à distance dans Zimbra a été ajoutée au projet Metasploit.
Zimbra, une suite logicielle d’outils de collaboration pour les entreprises, a publié un correctif pour la vulnérabilité en mai, deux mois après qu’elle ait été signalée pour la première fois par des chercheurs de SonarSource.
Mais selon Kaspersky, deux vagues d’attaques successives sont survenues en septembre, la première ciblant des serveurs gouvernementaux en Asie et une deuxième vague de plus grande envergure le 30 septembre qui s’est attaquée à “tous les services vulnérables situés dans des pays spécifiques d’Asie centrale”.
“Le 7 octobre 2022, une preuve de concept pour cette vulnérabilité a été ajoutée au framework Metasploit, jetant les bases d’une exploitation massive et mondiale par des attaquants même peu sophistiqués”, ont déclaré les chercheurs de Kaspersky sur son blog, SecureList.
Metasploit fournit des informations sur les vulnérabilités et facilite les tests d’intrusion.
Zimbra reconnu que la vulnérabilité, suivie comme CVE-2022-41352, provient de son moteur antivirus utilisant l’utilitaire cpio pour analyser les e-mails entrants. L’utilitaire cpio a une faille, CVE-2015-1197, qui permet aux pirates de créer une archive qui pourrait accéder à n’importe quel fichier dans Zimbra.
Kaspersky a recommandé aux équipes de sécurité de mettre à jour les appareils avec le correctif publié par Zimbra, a déclaré que les équipes devraient installer pax sur la machine hébergeant l’installation de Zimbra pour empêcher la vulnérabilité d’être exploitable si elles ne pouvaient pas installer le correctif.
L’Agence de la cybersécurité et de la sécurité des infrastructures (CISA) a ajouté le Zimbra RCE à sa liste de catalogue de vulnérabilités exploitées connues en août et toutes les agences fédérales américaines ont été mandatées pour remédier à la vulnérabilité. La suite logicielle est utilisée par plus de 200 000 entreprises, y compris aux États-Unis, selon le fournisseur.