Mastodon

Alerte de sécurité Zimbra CVE-2025-25064 : la réponse des produits Stormshield

Publié le : 20 02 2025

Auteur : Stormshield Customer Security Lab

3 minutes

Une vulnérabilité critique impactant les logiciels Zimbra Collaboration Suite, identifiée par la référence CVE-2025-25064, vient de voir le jour. Elle obtient un score CVSS v3.1 de 9,8.

Il convient de porter une attention particulière à cette vulnérabilité CVE-2025-25064, car des preuves de concept sont disponibles publiquement. Les versions suivantes sont impactées :

  • Zimbra Collection 10.0.11 et inférieur ;
  • Zimbra Collection 10.1.3 et inférieur.

 

Le vecteur initial de la vulnérabilité Zimbra

La vulnérabilité permet à un attaquant non-authentifié d’injecter des commandes SQL arbitraires.

 

Les détails techniques de la vulnérabilité Zimbra

La vulnérabilité concerne ZimbraSync Service SOAP. Le endpoint /CancelPendingAccountOnlyRemoteWipeRequest ne vérifie par certaines données envoyées par l’utilisateur. Ceci permet de réaliser des injections SQL.

 

La modélisation de l'attaque avec MITRE ATT&CK

MITRE ATT&CK

  • T1190 (Exploit Public-Facing Application)
  • T1659 Content Injection

 

Les moyens de protections avec Stormshield Network Security face à la vulnérabilité Zimbra

Protection face à la CVE-2025- 25064

Les firewalls Stormshield Network Security (SNS) détectent et bloquent par défaut l’exploitation de la CVE-2025- 25064 via une série d'alarmes IPS :

  • http:client:data:17 : SQL injection Prevention - POST : suspicious SELECT statement in data
  • http:client:data:18 : SQL injection Prevention - POST : suspicious UPDATE statement in data
  • http:client:data:19 : SQL injection Prevention - POST : suspicious DROP statement in data
  • http:client:data:20 : SQL injection Prevention - POST : suspicious CREATE statement in data
  • http:client:data:21 : SQL injection Prevention - POST : possible version probing in data
  • http:client:data:22 : SQL injection Prevention - POST : suspicious OR statement in data
  • http:client:data:23 : SQL injection Prevention - POST : suspicious UNION statement in data
  • http:client:data:24 : SQL injection Prevention - POST : suspicious EXEC statement in data
  • http:client:data:25 : SQL injection Prevention - POST : suspicious OPENROWSET statement in data
  • http:client:data:26 : SQL injection Prevention - POST : suspicious OPENQUERY statement in data
  • http:client:data:27 : SQL injection Prevention - POST : suspicious HAVING statement in data
  • http:client:data:29 : SQL injection Prevention - POST : suspicious INSERT statement in data
  • http:client:data:33 : SQL injection Prevention - POST : suspicious DECLARE statement in data
  • http:client:data:34 : SQL injection Prevention - POST : suspicious CAST statement in data
  • http:client:data:95 : SQL injection Prevention - GET : suspicious SELECT statement in URL
  • http:client:data:96 : SQL injection Prevention - GET : suspicious UPDATE statement in URL
  • http:client:data:97 : SQL injection Prevention - GET : suspicious DROP statement in URL
  • http:client:data:98 : SQL injection Prevention - GET : suspicious CREATE statement in URL
  • http:client:data:99 : SQL injection Prevention - GET : possible database version probing
  • http:client:data:100 : SQL injection Prevention - GET : suspicious OR statement in URL
  • http:client:data:101 : SQL injection Prevention - GET : suspicious UNION statement in URL
  • http:client:data:102 : SQL injection Prevention - GET : suspicious EXEC statement in URL
  • http:client:data:103 : SQL injection Prevention - GET : suspicious OPENROWSET statement in URL
  • http:client:data:104 : SQL injection Prevention - GET : suspicious OPENQUERY statement in URL
  • http:client:data:105 : SQL injection Prevention - GET : suspicious combination of 'OR' or 'AND' statements in URL
  • http:client:data:126 : SQL injection Prevention - GET : suspicious shutdown statement in URL
  • http:client:data:163 : SQL injection Prevention - GET : suspicious INSERT statement in URL
  • http:client:data:183 : SQL injection Prevention - GET : suspicious DECLARE statement in URL
  • http:client:data:184 : SQL injection Prevention - GET : suspicious CAST statement in URL
  • http:client:data:342 : SQL injection Prevention - GET : suspicious SQL keywords in URL
  • http:client:data:432 : SQL injection Prevention - GET : suspicious parameter in an URL parameter

Pour que ces alarmes fonctionnent efficacement, le trafic doit être déchiffré.

Indice de confiance de la protection proposée par Stormshield

Indice de confiance de l’absence de faux positif

Recommandations face à la vulnérabilité Zimbra

Il est ainsi fortement recommandé de mettre à jour vos logiciels Zimbra dans les versions suivantes :

  • 0.12 ou supérieur ;
  • 1.4 ou supérieur.
Tags :

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Un besoin de précision sur les protections Stormshield ? Les équipes du Support Technique sont à votre disposition pour vous accompagner au mieux. Contactez-les par le biais du gestionnaire d’incidents situé dans l’espace privé MyStormshield. Pour y accéder, sélectionnez le menu « Support technique / Rapporter un incident / Suivre un incident ».
L’équipe de Cyber Threat Intelligence de Stormshield remplit deux missions principales : étudier les menaces cyber pour les comprendre et améliorer en continu les protections des produits de Stormshield. Le tout, dans l’optique de contribuer à l’effort de la communauté de la cybersécurité pour faire face aux menaces cyber.
À propos de l'auteur
mm
Stormshield Customer Security Lab
Derniers articles

Voir tous les articles de Alertes

En savoir plus