Selon un rapport de Volexity, Zimbra est, comme de nombreux autres logiciels, vulnérable à la faille zero day Log4Shell. Une brèche qui peut affecter une société au plus profond de son infrastructure. En outre, la plateforme de messagerie open source renferme une autre vulnérabilité critique. Cette dernière est utilisée dans des piratages d’États européens et des médias.
Pour les hackers, toute faille informatique, aussi infime qu’elle soit, peut être exploitée à des fins de cyberattaque. C’est la raison pour laquelle les DSI de tous types d’organisation devraient renforcer au maximum leur sécurité sur Internet. Dans cette tâche, elles peuvent demander à des consultants IT de les aider. D’ailleurs, bon nombre de ces experts recherchent des missions sur des Plateforme informatique spécialisées.
À ce sujet, une vulnérabilité zero day a été identifiée dans le logiciel de messagerie en libre de droit Zimbra. Plus grave encore, celle-ci a été employée pour atteindre les courriels de médias et d’organismes étatiques européens.
L’attaque a été orchestrée pazzr TEMP_Heretic
Volexity, le chasseur de malwares qui a découvert la faille, a prévenu Zimbra le 16 décembre 2021. Cependant, ce dernier n’a pas encore mis de correctif en ligne. La brèche du jour zéro a été repérée dans les versions récentes des clients de messagerie en ligne Zimbra :
- 8.8.15 P30 ;
- 8.8.15 P20.
Selon l’éditeur de sécurité, la vulnérabilité n’aurait pas affecté l’édition 9.0.0. Cependant, la faille permet aux hackers de dérober des cookies de sessions . Avec ces données, ils peuvent accéder à un compte Zimbra pour :
- Envoyer des messages d’hameçonnage aux connaissances du titulaire pour les pousser vers le téléchargement de logiciels malveillants ;
- Subtiliser des courriers électroniques et les documents en attachement.
D’après les experts de Volexity, cette attaque a été lancée par TEMP_Heretic . Un groupe suspecté de provenir de Chine. Les spécialistes soutiennent que la campagne d’offensive s’est déployée avec plusieurs étapes. La première vague reposait sur une phase d’exploration et impliquait des e-mails. Ces derniers ayant été élaborés pour voir si les messages touchaient leur cible et si celui-ci les lisait. La deuxième étape s’appuyait sur plusieurs phases. Le tout avec des courriels encourageant les cibles à ouvrir un lien malveillant généré par l’assaillant.
Zimbra présente une brèche Log4Shell
Dans ce cadre, les spécialistes en informatique devraient prêter attention à Log4Shell . Une faille 0-day à laquelle une liste extrêmement longue de logiciels est vulnérable :
- Zimbra ;
- WatchGuard ;
- Veeam ;
- Ubuntu ;
- sysAid ;
- Red Hat RHSA ;
- KACE ;
- Microsoft ;
- McAfee ;
- IBM ;
- Huawei ;
- Eset ;
- BitDefender ;
- Apache ;
- Etc.
Cette brèche présente un double problème. D’une part, elle se révèle dangereuse puisqu’elle permet le lancement à distance de codes sans authentification. De plus, elle est très simple à exécuter . En d’autres termes, Log4Shell doit être vu tel une urgence absolue pour les responsables de la cybersécurité comme les RSSI . Selon un expert en menaces chez Sophos, Sean Gallagher :
[…] Sa vulnérabilité peut donc être présente au plus profond de l’infrastructure d’une entreprise, notamment dans tout logiciel développé en interne. […].
En conséquence, explique-t-il, la recherche de chaque système vulnérable dû à cette brèche doit représenter une priorité pour la cybersécurité .