Les chercheurs en sécurité ont détecté une chaîne de failles critique dans SEPPMail Secure E-Mail Gateway qui, ensemble, permettent de lire les courriels d'autres personnes à l'exécution de code à distance dans l'application de la passerelle. La combinaison d'erreurs dans l'interface web et les API internes fait de ces appareils un objectif de grande valeur: ceux qui parviennent à les exploiter peuvent intercepter les communications, persister dans le réseau et se déplacer latéralement vers les systèmes internes.
Les faiblesses signalées incluent des vulnérabilités transversales qui vous permettent d'écrire ou de lire des fichiers arbitraires, à une désérialisation dangereuse, à une injection ovale et des défaillances d'autorisation dans des paramètres non authentifiés. Ces types d'échecs sont souvent particulièrement dangereux dans les passerelles de courrier, car le trafic qu'ils traitent contient des identifiants, des pièces jointes et des métadonnées qui facilitent l'escalade de l'attaque ou l'évasion de la détection.
Un vecteur technique décrit par les chercheurs illustre le risque : si un attaquant peut écraser des fichiers de configuration système (par exemple, la configuration syslog) avec des permissions de processus vulnérables, il peut inciter le démon log à recharger cette configuration et, par des commandes interprétées par Perl dans la configuration, établir une connexion inverse. Dans ce cas particulier, la rotation de logs par des outils tels que newsyslog - qui est régulièrement exécuté par cron - agit comme un déclencheur pour le syslog pour recharger sa configuration après une rotation forcée par taille, convertissant les requêtes web répétées en un mécanisme d'activation.
SEPPMail a publié des corrections partielles de patch : certaines défaillances ont été résolues dans des versions telles que 15.0.2.1 et 15.0.3, et le reste dans 15.0.4, de sorte que la première action obligatoire pour les administrateurs est de vérifier la version installée et d'appliquer les mises à jour officielles du fournisseur.
Pour les équipes chargées de la sécurité et des opérations des mesures devraient être prises immédiatement et à moyen terme. Immédiatement, et pour confirmer le correctif et l'intégrité de l'application, il est recommandé de réduire l'exposition de l'interface de gestion : limiter l'accès au réseau de gestion, appliquer des listes blanches via IP, désactiver les fonctions non critiques telles que le transfert de fichiers volumineux (si possible) et bloquer les paramètres vulnérables avec des règles pare-feu ou WAF.
En cas de soupçon d'engagement, traiter l'application comme un point de filtration potentiel. Entreprendre un confinement qui comprend l'isolement de l'application du reste de l'infrastructure, la capture médico-légale de disques ou instantané, l'examen des configurations critiques (par exemple, / etc / syslog.conf ou cron jobs), et la recherche d'exécutions d'interprètes inattendus (Perl, sh) ou de connexions sortantes inhabituelles. Elle ajoute que le courrier aurait pu être exfiltré et établit un plan d'intervention qui comprend une notification interne et, le cas échéant, aux tiers touchés et aux tiers visés par la réglementation.
Pour la détection et la chasse, des indicateurs de valeur tels que des changements dans les fichiers de configuration du système, des emplois de cron ajoutés, des rotations inhabituelles de log corrélées avec des pics de trafic web et des processus de noms atypiques qui fonctionnent interprètent. Redémarrer ou redéployer l'application d'une image propre après l'enquête est le moyen le plus sûr d'assurer l'enlèvement des portes arrière, suivi de la rotation des lettres d'identité et des certificats utilisés par la passerelle.
Au-delà du patch immédiat, ces vulnérabilités présentent des bonnes pratiques qui devraient être renforcées : segmentation stricte du réseau pour les applications périmètres, principe de moins de privilège dans les processus et les fichiers, resserrement des API et des mécanismes d'authentification solides pour les interfaces administratives, examens réguliers de code ou tests de sécurité dans les logiciels qui traitent des données sensibles. L'exposition aux variables environnementales ou l'absence de contrôles d'autorisation sont des erreurs de conception qui nécessitent des corrections structurelles, et pas seulement des correctifs ponctuels.
Si vous utilisez SEPPMail en production, vérifiez les communications officielles du fournisseur pour confirmer les versions touchées et les correctifs disponibles et suivez vos guides de mise à jour. Il est également utile d'examiner l'analyse technique et les recommandations des chercheurs afin de comprendre la portée du risque. Vous pouvez commencer par les pages du fournisseur et des chercheurs : SEPPMail et InfoGuard. Pour mieux comprendre le rôle du syslog et du signal SIghUP dans ce type de dotations techniques, des ressources telles que la documentation système sont utiles: page homme de syslod.
Bref, ces vulnérabilités se souviennent que les passerelles de messagerie ne sont pas des appareils neutres : ce sont des dépôts et des portes d'entrée pour les informations critiques. Il est essentiel de mettre à jour les versions en blanc, de limiter l'accès administratif, d'étudier les signes d'engagement et de mettre en œuvre des mesures de sécurité structurelles pour atténuer les risques et réduire les risques d'intrusion dévastatrice.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...