21/12/2024

Actu Cybersécurité

Patchez Zimbra : cette faille de sécurité est utilisée pour déployer une porte dérobée !

Une faille de sécurité présente dans un composant de la solution de messagerie Zimbra est activement exploitée par les pirates : CVE-2024-45519. Un simple e-mail malveillant peut permettre d'exécuter du code à distance sur le serveur ! Faisons le point sur cette menace.

Depuis plusieurs jours, des cybercriminels exploitent la faille de sécurité critique associée à la référence CVE-2024-45519. Son score CVSS 3.1 de 9.8 sur 10, n'annonce rien de bon. Et pour cause, un attaquant situé à distance peut exécuter du code sur le serveur de messagerie grâce à un e-mail spécialement conçu. Le code malveillant doit être inclus dans le champ "CC" de l'e-mail, alors que ce champ sert habituellement à mettre des destinataires en copie d'un e-mail.

L'exécution de code aura lieu sur le serveur au moment où ce dernier va traiter l'e-mail. En effet, la vulnérabilité est présente dans le service postjournal de Zimbra, qui est utilisé pour analyser les courriels entrants via SMTP.

Selon le bulletin de sécurité de Zimbra, CVE-2024-45519 a été corrigé dans la version 9.0.0 Patch 41 ou ultérieure, les versions 10.0.9 et 10.1.1, et la version 8.8.15 Patch 46 ou ultérieure. Il est à noter que ces nouvelles versions corrigent aussi d'autres failles de sécurité, dont plusieurs faiblesses de type XSS.

CVE-2024-45519 - Une vulnérabilité massivement exploitée

Plusieurs chercheurs en sécurité, notamment de chez HarfangLab et Proofpoint, évoquent une exploitation massive de cette faille de sécurité. D'ailleurs, si vous effectuez des recherches sur le Web, vous tomberez rapidement sur des codes d'exploitation... La semaine dernière, les chercheurs de ProjectDiscovery ont publié un rapport technique et un exploit de PoC, qui correspond aux exploitations actuelles de cette vulnérabilité.

L'e-mail malveillant contient une commande spéciale, dans le champ CC, dont le but est de déployer une porte dérobée sous la forme d'un webshell sur le serveur de messagerie Zimbra. Ensuite, il reste en attente et à l'écoute d'autres commandes à exécuter. Il est aussi capable de télécharger ou d'envoyer des fichiers. Pour communiquer avec le webshell, les pirates doivent envoyer une requête avec un ID de cookie spécifique (champ JSESSIONID).

La vulnérabilité serait exploitée au moins depuis le 28 septembre 2024.

Des milliers de serveurs potentiellement vulnérables

D'après les informations publiées par The Shadowserver Foundation, il y aurait plusieurs milliers de serveurs exposés sur Internet et potentiellement vulnérables à cette faille de sécurité. Cette page met en évidence le nombre de serveurs Zimbra par pays.

En France, il y aurait au moins 1 000 serveurs Zimbra exposés sur Internet : combien sont-ils protégés de cette vulnérabilité ? Bonne question.

Si ce n'est pas déjà fait, patchez votre serveur Zimbra dès que possible...

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.