Les experts de Kaspersky ont découvert que la vulnérabilité CVE-2022-41352 récemment détectée dans le programme Zimbra Collaboration était activement exploitée par des groupes d’APT anonymes. Au moins un de ces groupes attaque les serveurs vulnérables en Asie centrale.
Qu’est-ce que CVE-2022-41352 et pourquoi cette vulnérabilité est-elle dangereuse ?
Cette vulnérabilité a été découverte dans l’outil de décompression des archives cpio, utilisé par le filtre de contenu Amavis qui, à son tour, fait partie de la suite Zimbra Collection. Les cybercriminels ont mis au point une archive .tar malveillante avec un code encoquillé (web shell) à l’intérieur afin de l’envoyer à un serveur qui exécute le programme vulnérable Zimbra Collection. Lorsque le filtre Amavis commence à vérifier l’archive, il fait appel à l’outil cpio qui décompresse le code encoquillé et l’inclut dans un annuaire public. Les cybercriminels n’ont plus qu’à exécuter le code encoquillé et à donner des ordres arbitraires au serveur pris pour cible. En d’autres termes, cette vulnérabilité ressemble à celle du module tarfile.
Une description technique plus détaillée est disponible sur notre blog Securelist. Cet article liste notamment les annuaires où les escrocs ont placé leur code encoquillé selon les attaques analysées par nos experts.
L’aspect le plus dangereux de cette attaque est que l’exploit de cette vulnérabilité a été ajouté au projet Metasploit Framework ; une plateforme qui, en théorie, sert à faire des recherches de sécurité et des tests d’intrusion, mais qui est en réalité souvent utilisées par les cybercriminels pour lancer de vraies attaques. Ainsi, même les cybercriminels débutants peuvent exploiter la vulnérabilité CVE-2022-41352.
Comment vous protéger
Zimbra a publié un correctif et des instructions d’installation le 14 octobre. La première étape consiste à installer la dernière mise à jour que vous pouvez télécharger ici. Si, pour une quelconque raison, vous ne pouvez pas installer ce patch, il y a une autre solution : l’attaque peut être évitée en installant l’utilitaire pax sur le serveur vulnérable. Pourtant, n’oubliez pas que cette solution ne résout pas vraiment le problème. En théorie, les cybercriminels pourraient trouver une autre façon d’exploiter la faille de cpio.
Si vous pensez qu’on vous a attaqué à cause de cette vulnérabilité, ou si vous trouvez un code encoquillé dans un des annuaires mentionnés sur Securelist, nos experts vous conseillent de contacter des spécialistes en réponse aux incidents. Les cybercriminels pourraient déjà avoir accès aux comptes d’autres services ou installer des portes dérobées. Cela leur permettrait d’avoir à nouveau accès au système pris pour cible même si le code encoquillé est supprimé.
Les solutions de sécurité de Kaspersky détectent et bloquent les tentatives d’exploitation de la vulnérabilité CVE-2022-41352.
[KESB Top3 banner]