Vulnérabilité XSS CVE-2018-6882 dans Zimbra Collaboration Suite Exploitée pour Cibler le Gouvernement Ukrainien, Avertit le CERT-UA
Table des matières :
CERT-UA a récemment alerté la communauté mondiale d’une nouvelle activité malveillante ciblant les institutions étatiques ukrainiennes. Cette fois, des adversaires non identifiés exploitent un problème de sécurité de type cross-site scripting dans Zimbra Collaboration Suite (ZCS) suivi sous le nom de CVE-2018-6882 pour espionner les conversations par courriel des responsables ukrainiens. Compte tenu de la nature de la menace, CERT-UA la considère comme une attaque ciblée suivie sous l’identifiant UAC-0097.
Exploitation de la vulnérabilité Zimbra CVE-2018-6882 : Vue d’ensemble de l’attaque
Zimbra est une solution d’entreprise pour la synchronisation des courriels, calendriers et collaborations entre équipes, pouvant être déployée à la fois dans le cloud ou sur site. Plus de 200 000 entreprises dans le monde utilisent Zimbra dans le cloud, y compris des organisations du secteur financier et gouvernemental, ce qui constitue une menace sérieuse pour un grand nombre de clients qui deviennent des victimes potentielles de campagnes de spear-phishing et d’attaques cybernétiques liées exploitant les vulnérabilités de sécurité de Zimbra.
En mars 2018, des chercheurs en sécurité ont repéré un problème de cross-site scripting (XSS) de gravité moyenne dans ZCS. En cas d’exploitation, la faille permet aux adversaires d’effectuer des actions arbitraires malveillantes en leur nom ou de créer des écrans de connexion trompeurs pour voler les identifiants des utilisateurs. Le flux d’exploitation est relativement simple. Les pirates doivent simplement convaincre la victime d’ouvrir un courriel spécialement conçu dans ZCS.
Sur une période allant de décembre 2021 à février 2022, un autre bug XSS de Zimbra a été de plus en plus exploité en milieu sauvage exposant plusieurs organisations européennes, y compris des entités gouvernementales, à plusieurs vagues de cyber-attaques attribuées à des pirates chinois. Les premières tentatives d’exploitation ont utilisé des courriels de reconnaissance contenant des graphiques intégrés, tandis que la deuxième étape de l’attaque a pris la forme d’une campagne de spear-phishing diffusant des courriels avec des URL suspectes. En exploitant cette faille de type zéro-day, les attaquants ont réussi à accéder aux courriels visés et à exfiltrer les données de messagerie vers le serveur C&C de l’adversaire.
Au cours de la campagne malveillante la plus récente exploitant la faille XSS en question, les courriels distribués parmi les organismes d’État ukrainiens contenaient un en-tête content-location avec du code JavaScript qui, à travers une chaîne d’infection, a conduit à l’exploitation de la vulnérabilité détectée dans ZCS (CVE-2018-6882). Cette vulnérabilité XSS permet aux adversaires d’injecter à distance des scripts malveillants ou du code HTML dans une pièce jointe envoyée via des courriels utilisant un en-tête content-location. L’exploitation de CVE-2018-6882 permet le transfert automatique des courriels compromis vers une adresse externe, ce qui peut être considéré comme une campagne de cyberespionnage ciblée.
Détection et Mitigation
Les chercheurs en sécurité ont testé avec succès l’exploitation de Zimbra sur ZCS 8.7.11_GA-1854 (build 20170531151956) et suggèrent que le problème de sécurité affecte toutes les versions de ZCS à partir de la version 8.5.0. Le bug a été résolu dans la version 8.8.7 de ZCS.
Pour protéger l’infrastructure de l’organisation contre les cyber-attaques potentielles exploitant la vulnérabilité Zimbra CVE-2018-6882, il est fortement recommandé aux organisations de vérifier et mettre à niveau vers une version sécurisée du logiciel Zimbra. De plus, CERT-UA recommande de surveiller de près certains paramètres de messagerie pour prévenir les risques d’exfiltration de données et les attaques de spear-phishing associées.
En plus des meilleures pratiques de sécurité pour protéger l’environnement organisationnel contre les exploits Zimbra possibles, CERT-UA fournit des indicateurs de compromission pour l’attaque cybernétique liée contre les organismes étatiques ukrainiens. Pour rationaliser les activités de chasse aux menaces, les professionnels de la sécurité peuvent utiliser l’outil Uncoder CTI de SOC Prime pour convertir automatiquement les IoCs fournis par CERT-UA en requêtes de chasse personnalisées prêtes à être exécutées dans un environnement SIEM ou XDR choisi. Uncoder CTI est actuellement disponible gratuitement pour tous les utilisateurs inscrits sur notre plateforme Detection as Code jusqu’au 25 mai 2022.
Exploitation de la plateforme Detection as Code de SOC Prime, les professionnels de la sécurité peuvent renforcer en toute transparence leurs capacités de détection et de chasse aux menaces tout en restant au fait des menaces émergentes en continu.