Une faille XSS CVE-2024-27443 dans Zimbra touche 129 000 serveurs, suspectée par Sednit.
Une vulnérabilité XSS critique, CVE-2024-27443, dans la fonctionnalité CalendarInvite de Zimbra Collaboration Suite est activement exploitée, potentiellement par le groupe de pirates Sednit. Découvrez comment cette faille permet aux attaquants de compromettre les sessions utilisateur et pourquoi une correction immédiate est cruciale.
Une nouvelle faille de sécurité a été découverte dans Zimbra Collaboration Suite (ZCS) , une plateforme de messagerie et de collaboration populaire. Ce problème, classé CVE-2024-27443, est une faille de type cross-site scripting (XSS) qui pourrait permettre à des attaquants de voler des informations ou de prendre le contrôle de comptes utilisateurs.
Le problème réside spécifiquement dans la fonctionnalité « CalendrierInvite » de l'interface du client Web classique de Zimbra. Il survient parce que le système ne vérifie pas correctement les informations entrantes dans l'en-tête Calendrier des e-mails.
Cette erreur ouvre la voie à une attaque XSS stockée. Un attaquant peut ainsi intégrer du code malveillant dans un e-mail spécialement conçu. Lorsqu'un utilisateur ouvre cet e-mail via l'interface Zimbra classique, le code malveillant s'exécute automatiquement dans son navigateur web, donnant ainsi accès à sa session. La gravité de cette vulnérabilité est moyenne, avec un score CVSS de 6,1. Elle concerne les versions 9.0 (patchs 1 à 38) et 10.0 (jusqu'à 10.0.6) de ZCS.
Selon Censys, une société spécialisée dans la cybersécurité, au jeudi 22 mai 2025, date de publication du rapport original, un nombre important d'instances de Zimbra Collaboration Suite étaient exposées en ligne et pourraient être vulnérables.
Censys a recensé 129 131 instances ZCS potentiellement vulnérables dans le monde, principalement en Amérique du Nord, en Europe et en Asie. La grande majorité d'entre elles sont hébergées dans des services cloud. De plus, 33 614 hôtes Zimbra sur site ont été identifiés, souvent liés à une infrastructure partagée.
La vulnérabilité a été officiellement ajoutée au catalogue des vulnérabilités exploitées connues (KEV) de la CISA le 19 mai 2025, confirmant qu'elle est activement utilisée par les attaquants.
Des chercheurs en sécurité d'ESET ont suggéré qu'un groupe de pirates informatiques bien connu, Sednit (PDF) (alias APT28 ou Fancy Bear), pourrait être impliqué dans l'exploitation de cette faille. Les chercheurs d'ESET soupçonnent que le groupe Sednit exploite cette faille dans le cadre d'une opération plus vaste appelée Opération RoundPress , visant à voler les identifiants de connexion et à maintenir l'accès aux plateformes de messagerie web. Bien qu'il n'existe actuellement aucune preuve de concept (PoC) publique, cette exploitation active souligne l'urgence pour les utilisateurs d'agir.
Heureusement, des correctifs sont disponibles pour cette vulnérabilité. Zimbra a corrigé le problème dans la version 10.0.7 et le patch 39 de la version 9.0.0 de ZCS. Il est fortement recommandé aux utilisateurs de mettre à jour immédiatement leur suite Zimbra Collaboration vers ces versions corrigées afin de se protéger contre d'éventuelles attaques.
HackRead
