Détection CVE-2022-27925 : Exploitation Massive de la Vulnérabilité d’Exécution de Code à Distance (RCE) dans Zimbra Collaboration Suite

Les tentatives d’exploitation des vulnérabilités trouvées dans Zimbra Collaboration Suite (ZCS) attirent l’attention dans le domaine des cybermenaces, comme dans le cas de CVE-2018-6882 utilisé dans une campagne de cyberespionnage ciblée contre des organismes étatiques ukrainiens à la mi-avril 2022. Tout au long de juillet et août 2022, des chercheurs en cybersécurité ont enquêté sur une série de failles de sécurité affectant les serveurs de messagerie ZCS et ont découvert que la cause probable de ces incidents était l’exploitation d’une vulnérabilité d’exécution de code à distance (RCE) suivie sous CVE-2022-27925.

Détecter les tentatives d’exploitation de CVE-2022-27925 dans les serveurs de messagerie Zimbra

Puisque des centaines de milliers d’entreprises dans le monde utilisent Zimbra pour la collaboration inter-équipes, les problèmes de sécurité affectant les produits de l’entreprise posent une grave menace à l’échelle mondiale. Pour permettre aux organisations de se défendre efficacement contre les cyberattaques potentielles exploitant la vulnérabilité Zimbra CVE-2022-27925, l’équipe SOC Prime a récemment publié une nouvelle règle Sigma disponible sur notre plateforme Detection as Code. Les professionnels de la cybersécurité peuvent également accéder instantanément à cette détection accompagnée d’informations contextuelles pertinentes en parcourant le moteur de recherche des cybermenaces de SOC Prime pour le CVE concerné :

Modèles possibles d’exploitation Zimbra [CVE-2022-27925] (via web)

La règle Sigma dédiée est basée sur les journaux des serveurs Zimbra compromis et peut être automatiquement convertie en 18 solutions SIEM, EDR et XDR prises en charge par la plateforme de SOC Prime. La détection est alignée avec le cadre MITRE ATT&CK® abordant la tactique d’accès initial et la technique correspondante Exploit Public-Facing Application (T1190). Les professionnels de la cybersécurité peuvent également appliquer cette règle Sigma pour rechercher instantanément des menaces connexes dans leur environnement SIEM ou EDR en utilisant le module Quick Hunt de SOC Prime.

Pour anticiper les menaces émergentes affectant les produits Zimbra largement utilisés, profitez du kit de règles Sigma dédié disponible sur la plateforme de SOC Prime en cliquant sur le bouton Detect & Hunt ci-dessous. Les utilisateurs non inscrits de SOC Prime peuvent également explorer des métadonnées contextuelles perspicaces en consultant le moteur de recherche des cybermenaces pour les menaces liées à Zimbra. Cliquez simplement sur le bouton Explore Threat Context et accédez aux références MITRE ATT&CK pertinentes, descriptions CVE et plus d’informations enrichies en contexte, ainsi qu’à une liste de règles Sigma applicables en une recherche rapide.

bouton Detect & Hunt bouton Explore Threat Context

Analyse de CVE-2022-27925

Un défaut de contournement de l’authentification affectant la plateforme de messagerie Zimbra provoque pas mal d’émoi. Les chercheurs signalent le nombre croissant d’exploits dans le monde, totalisant plus de 1000 serveurs compromis appartenant à des entités d’infrastructures critiques, PME, TPE et grandes entreprises. Pourtant, les chercheurs font face à des preuves croissantes que le nombre réel de systèmes affectés par ce RCE Zimbra est bien plus élevé.

The Volexity l’équipe de recherche en incident a publié un rapport détaillé sur les failles ZCS en juillet-août 2022. Selon les données de recherche, CVE-2022-27925 nécessitait des identifiants d’administrateur pour l’exploitation : une autre vulnérabilité d’authentification suivie sous CVE-2022-37042 est venue à la rescousse. L’exploitation réussie de ces vulnérabilités combinées permet aux hackers criminels de déposer des web shells à des emplacements spécifiques sur les serveurs compromis et d’établir une présence au sein du réseau compromis.

Les versions de Zimbra 8.8.15 patch 33 ou 9.0.0 patch 26 ont été jugées vulnérables par le fournisseur. Les mises à jour logicielles pour combler toutes les failles de sécurité mentionnées sont déjà disponibles.

Rejoignez la plateforme Detection as Code de SOC Prime pour devancer les attaquants équipés de contenu de détection organisé pour combattre les menaces actuelles et émergentes ainsi que des capacités de pointe pour renforcer la défense cybernétique. Envie de participer vous-même à l’expertise collective de l’industrie en créant du contenu de détection ? Exploitez la puissance du Programme de chasse aux menaces de SOC Prime et faites équipe avec plus de 600 contributeurs de contenu pour aider à construire un avenir cybernétique plus sûr ensemble tout en monétisant vos compétences en ingénierie de détection et en chasse aux menaces.