Alert!

Groupware Zimbra "trivial angreifbar" – Admins sollten schnell updaten

Mit der Verkettung zweier Security-Bugs in der Groupware haben Angreifer seit Ende Juni tausende Zimbra-Installationen übernommen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Aufmacher RCE in Groupware Zimbra

(Bild: Michael Traitov/Shutterstock.com)

Von
  • Dr. Christopher Kunz

Die Autoren der Groupware Zimbra warnen vor einer Sicherheitslücke, die eine Ausführung beliebigen Codes ermöglicht. Sicherheitsforscher haben Hinweise gefunden, dass diese Lücke – eine Variante eines eigentlich schon gepatchten Problems – bereits seit über einem Monat von Angreifern aktiv ausgenutzt wird.

Durch die Erweiterung des Angriffs auf eine bekannte und gepatchte Sicherheitslücke konnten Angreifer ohne vorherige Authentifizierung beliebigen Code ausführen und so bereits tausende Instanzen der Groupware übernehmen.

Im März behoben die Zimbra-Entwickler ein Problem in der Mailbox-Import-Funktionalität (CVE-2022-27925), welches das Hochladen beliebiger ZIP-Dateien im Kontext der Zimbra-Installation ermöglichte. Ein ähnliches Problem hatte Zimbra Ende Juni mit RAR-Dateien. Angreifer hätten so eine Webshell auf dem Zimbra-Server hochladen und ihn übernehmen können – benötigten dazu hingegen gemäß der damaligen Einschätzung Admin-Rechte.

Der Sicherheitsdienstleister Volexity fand jedoch im Juli und August Hinweise, dass Zimbra-Server mithilfe eines Exploits für CVE-2022-27925 erfolgreich übernommen wurden, ohne dass die Angreifer sich zuvor einen Admin-Zugang verschafft hätten. Bei ihrer Analyse entwickelten die Sicherheitsforscher tatsächlich eine Möglichkeit, die eigentlich notwendige Authentifizierung zu umgehen und meldeten dieses Problem (CVE-2022-37042) an die Zimbra-Entwickler.

In einem ausführlichen Blogartikel hat Volexity nun seine Erkenntnisse veröffentlicht. Die Kombination dieser beiden Sicherheitslücken mache Zimbra "trivial angreifbar", wie der Volexity-Präsident Steven Adair auf Twitter schreibt. Adair zufolge habe Volexity den nationalen CERTs eine Liste der betroffenen Zimbra-Instanzen zukommen lassen.

Admins sollten jedoch nicht auf eine Warnung ihres zuständigen CERT warten, sondern ihre Zimbra-Instanz unverzüglich auf den neuesten Stand bringen. Die Versionen 8.8.15P33 und 9.0.0P26 beheben beide Sicherheitslücken und sollten schnellstmöglich eingespielt werden. Zimbra-Instanzen, deren Versionen älter als 8.8.15P31 oder 9.0.0P24 sind, müssen zudem als kompromittiert betrachtet und sollten einer genauen Sicherheitsüberprüfung unterzogen werden, rät Volexity.

(dmk)