Les experts de Kaspersky ont d\u00e9couvert que la vuln\u00e9rabilit\u00e9 CVE-2022-41352 r\u00e9cemment d\u00e9tect\u00e9e dans le programme Zimbra Collaboration \u00e9tait activement exploit\u00e9e par des groupes d\u2019APT anonymes. Au moins un de ces groupes attaque les serveurs vuln\u00e9rables en Asie centrale.<\/p>\n
Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans l\u2019outil de d\u00e9compression des archives cpio, utilis\u00e9 par le filtre de contenu Amavis qui, \u00e0 son tour, fait partie de la suite Zimbra Collection. Les cybercriminels ont mis au point une archive .tar malveillante avec un code encoquill\u00e9 (web shell<\/em>) \u00e0 l\u2019int\u00e9rieur afin de l\u2019envoyer \u00e0 un serveur qui ex\u00e9cute le programme vuln\u00e9rable Zimbra Collection. Lorsque le filtre Amavis commence \u00e0 v\u00e9rifier l\u2019archive, il fait appel \u00e0 l\u2019outil cpio qui d\u00e9compresse le code encoquill\u00e9 et l\u2019inclut dans un annuaire public. Les cybercriminels n\u2019ont plus qu\u2019\u00e0 ex\u00e9cuter le code encoquill\u00e9 et \u00e0 donner des ordres arbitraires au serveur pris pour cible. En d\u2019autres termes, cette vuln\u00e9rabilit\u00e9 ressemble \u00e0 celle du module tarfile<\/a>.<\/p>\n Une description technique plus d\u00e9taill\u00e9e est disponible sur notre blog Securelist<\/a>. Cet article liste notamment les annuaires o\u00f9 les escrocs ont plac\u00e9 leur code encoquill\u00e9 selon les attaques analys\u00e9es par nos experts.<\/p>\n L\u2019aspect le plus dangereux de cette attaque est que l\u2019exploit de cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 ajout\u00e9 au projet Metasploit Framework\u00a0; une plateforme qui, en th\u00e9orie, sert \u00e0 faire des recherches de s\u00e9curit\u00e9 et des tests d\u2019intrusion, mais qui est en r\u00e9alit\u00e9 souvent utilis\u00e9es par les cybercriminels pour lancer de vraies attaques. Ainsi, m\u00eame les cybercriminels d\u00e9butants peuvent exploiter la vuln\u00e9rabilit\u00e9 CVE-2022-41352.<\/p>\n Zimbra a publi\u00e9 un correctif et des instructions d\u2019installation le 14 octobre. La premi\u00e8re \u00e9tape consiste \u00e0 installer la derni\u00e8re mise \u00e0 jour que vous pouvez t\u00e9l\u00e9charger ici<\/a>. Si, pour une quelconque raison, vous ne pouvez pas installer ce patch, il y a une autre solution\u00a0: l\u2019attaque peut \u00eatre \u00e9vit\u00e9e en installant l\u2019utilitaire pax sur le serveur vuln\u00e9rable. Pourtant, n\u2019oubliez pas que cette solution ne r\u00e9sout pas vraiment le probl\u00e8me. En th\u00e9orie, les cybercriminels pourraient trouver une autre fa\u00e7on d\u2019exploiter la faille de cpio.<\/p>\n Si vous pensez qu\u2019on vous a attaqu\u00e9 \u00e0 cause de cette vuln\u00e9rabilit\u00e9, ou si vous trouvez un code encoquill\u00e9 dans un des annuaires mentionn\u00e9s sur Securelist, nos experts vous conseillent de contacter des sp\u00e9cialistes en r\u00e9ponse aux incidents<\/a>. Les cybercriminels pourraient d\u00e9j\u00e0 avoir acc\u00e8s aux comptes d\u2019autres services ou installer des portes d\u00e9rob\u00e9es. Cela leur permettrait d\u2019avoir \u00e0 nouveau acc\u00e8s au syst\u00e8me pris pour cible m\u00eame si le code encoquill\u00e9 est supprim\u00e9.<\/p>\nComment vous prot\u00e9ger<\/h2>\n