Une vulnérabilité de messagerie a permis aux pirates informatiques de voler les données des gouvernements du monde entier

Le groupe d’analyse des menaces de Google a révélé jeudi avoir découvert et résolu une faille dans un serveur de messagerie utilisé pour voler des données aux gouvernements de Grèce, de Moldavie, de Tunisie, du Vietnam et du Pakistan. L’exploit, connu sous le nom de CVE-2023-37580, ciblait le serveur de messagerie Zimbra Collaboration pour voler les données de messagerie, les informations d’identification des utilisateurs et les jetons d’authentification des organisations.

Cela a commencé en Grèce fin juin. Les attaquants ont découvert la vulnérabilité et envoyé des e-mails à une organisation gouvernementale contenant l’exploit. Si quelqu’un cliquait sur le lien alors qu’il était connecté à votre compte Zimbra, il volait automatiquement les données de courrier électronique et mettait en place le transfert automatique pour prendre le contrôle de l’adresse.

Alors que Zimbra a publié un correctif sur la plateforme open source Github le 5 juillet, la plupart des activités de déploiement d’exploits ont eu lieu par la suite. Cela signifie que les cibles n’ont pas réussi à mettre à jour le logiciel avec le correctif jusqu’à ce qu’il soit trop tard. C’est un bon rappel pour mettre à jour les appareils que vous avez ignorés maintenant et dès que possible, à mesure que de nouvelles mises à jour seront disponibles. “Ces campagnes mettent également en évidence la manière dont les attaquants surveillent les référentiels open source pour exploiter de manière opportuniste les vulnérabilités où le correctif se trouve dans le référentiel, mais n’a pas encore été fourni aux utilisateurs”, a écrit le groupe d’analyse des menaces de Google dans un article de blog.

À la mi-juillet, il est devenu clair que le groupe menaçant Winter Vivern avait obtenu l’exploit. Winter Vivern a ciblé des organisations gouvernementales en Moldavie et en Tunisie. Un troisième acteur inconnu a ensuite utilisé cet exploit pour obtenir les informations d’identification des membres du gouvernement vietnamien. Ces données ont été publiées sur un domaine gouvernemental officiel, probablement géré par les attaquants. La campagne finale détaillée par le groupe d’analyse des menaces de Google ciblait une organisation gouvernementale au Pakistan pour voler des jetons d’authentification Zimbra, un élément d’information sécurisé utilisé pour accéder à des informations verrouillées ou protégées.

Les utilisateurs de Zimbra ont également été ciblés par une campagne de phishing massive plus tôt cette année. Selon les chercheurs d’ESET, à partir d’avril, un acteur malveillant inconnu envoie un e-mail contenant un lien de phishing dans un fichier HTML. Avant cela, en 2022, les acteurs malveillants utilisaient un autre exploit Zimbra pour voler des e-mails aux gouvernements européens et aux médias.

En 2022, Zimbra a déclaré compter plus de 200 000 clients, dont plus de 1 000 organisations gouvernementales. “La popularité de Zimbra Collaboration parmi les organisations censées disposer de budgets informatiques inférieurs garantit qu’elle reste une cible attrayante pour les adversaires”, ont expliqué les chercheurs d’ESET expliquant pourquoi les attaquants ciblent Zimbra.