Vulnérabilité critique dans Zimbra Webmail en cours d'exploitation active (CVE-2025-68645)
Résumé
Le 23 janvier, CISA a mis à jour son catalogue KEV (Known Exploited Vulnerability) avec une vulnérabilité critique d'inclusion de fichiers locaux (LFI) dans Zimbra Collaboration (ZCS). Cette vulnérabilité, identifiée comme CVE-2025-68645 et signalée initialement le 22 décembreet, permet à des attaquants distants non authentifiés d'inclure des fichiers arbitraires provenant du répertoire WebRoot en envoyant des requêtes malveillantes à un terminal dans le servlet RESTFilter. Cela peut potentiellement permettre de divulguer suffisamment d'informations pour pénétrer le serveur ciblé et fournir aux acteurs de la menace un accès initial au réseau d'une organisation.
Un exploit public de preuve de concept (PoCs) est disponible sur GitHub, et son inclusion dans le KEV de la CISA confirme une exploitation active dans le cadre de cyberattaques réelles. Beazley Security Labs recommande vivement aux utilisateurs d'adopter le correctif immédiatement.
Systèmes et produits concernés
Patchs
Les correctifs sont disponibles via le Patch Document de Zimbra qui fournit des instructions d'installation étape par étape adaptées à chaque version prise en charge.
Pour les instructions 10.0.x, suivez - Installation du correctif 10.0.x
Pour les instructions 10.1.x, suivez : Installation du correctif 10.1.x
Détails techniques
Un exploit public de preuve de concept est disponible sur GitHub. Cela, combiné aux avis de Zimbra et du NIST, décrit une vulnérabilité d'inclusion de fichiers locaux (LFI) dans le /h/repos point de terminaison du servlet RESTFilter dans l'interface utilisateur Webmail Classic.
Les vulnérabilités LFI constituent une classe de bogues courante et permettent généralement à des attaquants distants de manipuler des fichiers locaux sur une machine cible. En cas d'exploitation, le CVE-2025-68645 semble autoriser l'exposition de fichiers provenant du répertoire WebRoot, qui contient souvent des informations de configuration sensibles. Ces informations pourraient ensuite être exploitées par un attaquant pour compromettre davantage le système ou exfiltrer des données sensibles supplémentaires.
Comment Beazley Security réagit
Beazley Security surveille les appareils périmétriques des clients via sa plateforme de gestion des expositions afin d'identifier les appareils concernés et d'aider les organisations à remédier à tout problème détecté.
Nous menons également des recherches sur les menaces dans notre environnement MDR afin de détecter les tentatives d'exploitation potentielles contre nos clients.
Si vous pensez que votre organisation a peut-être été touchée par cette campagne d'attaque et a besoin d'aide, veuillez contactez notre équipe de réponse aux incidents.
Sources
- Zimbra : Sortie du correctif 10.0.18 pour Zimbra Daffodil
- Publication du correctif pour Zimbra : Zimbra Daffodil (v10.1.13)
- catalogue des vulnérabilités exploitées (KEV) de la CISA : vulnérabilité d'inclusion de fichiers à distance PHP dans la suite Synacor Zimbra Collaboration Suite (ZCS)
- GitHub : Zimbramail-CVE-2025-68645-POC
Vous êtes au courant d'un incident qui a un impact sur votre secteur d'activité ? Faites-nous savoir :