Kwetsbaarheid in Zimbra al veel misbruikt

Beveiligingsbedrijf Volexity meldt dat het op grote schaal misbruik heeft waargenomen van kwetsbare Zimbra Collaboration-systemen. Door middel van de kwetsbaarheid met kenmerk CVE-2022-27925 kan zonder toegangscontrole willekeurige code worden uitgevoerd op dergelijke systemen.

Het advies van het Digital Trust Centre (DTC) blijft om de beschikbare beveiligingsupdates zo spoedig mogelijk te (laten) installeren. Wanneer beveiligingsupdates nog niet waren doorgevoerd, dan is het belangrijk om na te gaan of er al misbruik heeft plaatsgevonden. Volexity geeft volgens het DTC nuttige informatie op welke manier dit is na te gaan. Voer dit zelf uit of vraag of je IT-dienstverlener dit kan controleren.

Ernstige kwetsbaarheid

Zimbra verhielp halverwege juni een ernstige kwetsbaarheid in Zimbra Collaboration, een veelgebruikte zakelijke mailoplossing. Het wordt onder andere gebruikt voor het managen van mailbox content, berichten, contacten en kalenders. Wereldwijd wordt Zimbra door zo’n 200.000 bedrijven, universiteiten en overheidsinstellingen ingezet.

Op 14 juni hebben onderzoekers van SonarSource in een blogpost het gemak aangetoond waarmee de kwetsbaarheid is uit te buiten. Het Nationaal Cyber Security Centrum (NCSC) heeft hierop besloten de inschaling van deze kwetsbaarheid te verhogen naar een High/High kwetsbaarheid. Dit betekent dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn.

De kwetsbaarheid, aangeduid met CVE-2022-27924, stelt kwaadwillenden in staat op afstand zogenaamde 'memcached-commando’s' te injecteren. De onderzoekers van SonarSource laten zien dat het hierdoor mogelijk is om relatief gemakkelijk gevoelige gegevens, zoals bijvoorbeeld inloggegevens, te bemachtigen zonder dat het slachtoffer dit door heeft.

Zimbra heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen in 8.8.15 Patch 31.1 en 9.0.0 Patch 24.1.