Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CISA Warns of Zimbra, SharePoint Flaw Exploits; Cisco Zero-Day Hit in Ransomware Attacks

1 minute de lecture

Mis à jour :

Alerte de sécurité : Exploits actifs sur Zimbra, SharePoint et Cisco

La CISA a émis une alerte concernant l’exploitation active de vulnérabilités critiques dans Zimbra Collaboration Suite et Microsoft SharePoint, tandis qu’une faille zero-day sur les équipements Cisco est utilisée dans des attaques par ransomware.

Points clés :

  • Operation GhostMail : Une campagne d’espionnage attribuée à des acteurs étatiques russes cible des institutions ukrainiennes via une faille XSS dans Zimbra, sans nécessiter de fichiers malveillants ni de macros.
  • Ransomware Interlock : Le groupe Interlock exploite une vulnérabilité critique (zero-day) sur les pare-feux Cisco pour obtenir un accès initial aux réseaux d’entreprises stratégiques.
  • Évolution des menaces : Les attaquants privilégient désormais les “stealers” résidents en mémoire et l’exploitation directe via le corps des emails HTML pour contourner les outils de détection classiques.

Vulnérabilités identifiées :

  • CVE-2025-66376 (Score 7.2) : Vulnérabilité XSS (Cross-Site Scripting) stockée dans l’interface classique de Zimbra ZCS. Permet l’interception de session et le vol de données.
  • CVE-2026-20963 (Score 8.8) : Vulnérabilité de désérialisation de données non fiables dans Microsoft SharePoint permettant l’exécution de code à distance (RCE).
  • CVE-2026-20131 (Score 10.0) : Faille critique sur les logiciels de gestion de pare-feux Cisco, exploitée comme zero-day par le ransomware Interlock.

Recommandations :

  • Application urgente des correctifs : La CISA impose la mise à jour des systèmes vulnérables avant le 23 mars 2026 pour SharePoint (CVE-2026-20963) et le 1er avril 2026 pour Zimbra (CVE-2025-66376).
  • Vigilance accrue sur les équipements périphériques : Renforcer la surveillance des passerelles et équipements réseaux (Cisco, Fortinet, etc.), cibles privilégiées pour l’accès initial aux réseaux.
  • Protection des emails : Sensibiliser les utilisateurs aux tactiques de phishing sophistiquées qui ne reposent plus sur des pièces jointes ou des liens, mais sur l’exploitation directe du code HTML dans le corps des messages.

Source

Vous pourriez aimer