La plate-forme de messagerie professionnelle Zimbra a publié un correctif pour une vulnérabilité de script intersite (XSS) dont l’abus a sous-tendu une série de campagnes de harponnage.

Un groupe APT chinois suspecté et jusqu’alors inconnu a tenté d’exploiter la faille afin de charger du JavaScript malveillant qui exfiltre les données de messagerie et les pièces jointes, selon un une analyse par l’équipe de réponse aux incidents Volexity.

Cependant, les chercheurs de Volexity pensent que les attaquants pourraient également exfiltrer les cookies et obtenir un accès persistant aux boîtes aux lettres, envoyer d’autres messages de phishing aux contacts des victimes et duper les cibles en téléchargeant par inadvertance des logiciels malveillants.

En utilisant le service d’analyse Web BinaryEdge, les chercheurs ont déclaré avoir détecté environ 33 000 serveurs de messagerie fonctionnant sur Zimbra, mais ont noté que la société affirme que son logiciel open source est utilisé par 200 000 entreprises et plus de 1 000 institutions gouvernementales et financières.

Volexity a déclaré que les attaquants, qu’il suit sous le nom de « TEMP_Heretic », ont ciblé des médias et des organismes et agences gouvernementaux européens.

« Plusieurs vagues »

La vulnérabilité a été révélée le 3 février lorsque Volexity a détaillé comment l’un de ses clients avait été ciblé « en plusieurs vagues sur deux phases d’attaque » sur une période de deux semaines.

La première phase de reconnaissance, qui a débuté le 14 décembre 2021, « impliquait des e-mails conçus pour suivre simplement si une cible recevait et ouvrait les messages », ont expliqué les chercheurs.

PLONGÉES PROFONDES Un guide sur le harponnage – comment se protéger contre les attaques ciblées

« La deuxième phase s’est déroulée en plusieurs vagues contenant des e-mails incitant les cibles à cliquer sur un lien malveillant conçu par un attaquant. »

L’attaque reposait sur la visite par la victime d’un lien malveillant alors qu’elle était connectée au client de messagerie Web Zimbra à partir d’un navigateur Web. « Le lien lui-même pourrait cependant être lancé à partir d’une application pour inclure un client lourd, tel que Thunderbird ou Outlook », ont ajouté les chercheurs.

Correctif déployé

Volexity a déclaré avoir informé Zimbra des attaques le 16 décembre et Zimbra en a accusé réception le 28 décembre.

Puis, le 11 janvier, Volexity a informé certains autres clients de Zimbra qu’ils étaient ciblés par le même exploit.

La faille semblait n’affecter que Zimbra 8.8.15 et versions antérieures versions – pas la dernière version ultérieure, 9.0.0.

Zimbra annoncé le vendredi (4 février) que le correctif serait « disponible pour les clients Zimbra via le support Zimbra ».

La société a déclaré: «Une solution durable au problème est en cours de test et d’examen de qualité et sera disponible sous forme de mise à jour vers 8.8.15p30. Le correctif mis à jour devrait être disponible via notre site de téléchargement le 5 février 2022.

« Nous recommandons à tous les clients Zimbra d’utiliser la version la plus récente disponible pour éviter tout problème ».

Volexity a fourni une liste de Infrastructure que les clients de Zimbra devraient bloquer et leur a conseillé « d’analyser les données historiques des référents pour détecter les accès et les référents suspects ».

XSS à l’état sauvage

Volexity a déclaré que l’exploit était moins dommageable que les vulnérabilités Microsoft Exchange de l’époque, il dévoilé en mars 2021mais qu’elle « peut encore avoir des conséquences catastrophiques pour les organisations ».

Michał Bentkowski, consultant en sécurité Web de la société polonaise de cybersécurité Securitum, a déclaré La gorgée quotidienne: « Bien que XSS soit l’une des vulnérabilités les plus courantes des applications Web, nous obtenons rarement des informations sur les campagnes réelles utilisant XSS-es. Probablement le plus populaire (ou peut-être le seul populaire ?) est Samy XSS cela s’est passé en 2005 sur MySpace et a touché plus d’un million d’utilisateurs.

« J’ai trouvé l’histoire de Zimbra XSS vraiment intéressante car c’est une campagne du monde réel. Il met également en évidence l’un des effets typiques de XSS, à savoir la possibilité d’exfiltrer les données des utilisateurs, dans ce cas : les corps et les pièces jointes des e-mails.

« Cela pourrait être une bonne étude de cas, pour expliquer les effets de XSS et l’importance de prévenir cette vulnérabilité. »