Angreifer nutzen derzeit eine Schwachstelle in der Software von Zimbra aus, um Systeme zu kompromittieren und ausgewählte Regierungsorganisationen anzugreifen.
Bei Zimbra handelt es sich um eine Open-Source-E-Mail- und Groupwarelösung. Anfang 2022 gab Zimbra an, dass weltweit rund 200.000 Unternehmen sowie über 1.000 Regierungs- und Finanzinstitute ihre Software nutzen.[1]
Laut Sicherheitsforschern von EclecticIQ können Angreifer durch Cross-Site-Scripting-Angriffe (XSS) vertrauliche Benutzerinformationen stehlen und bösartigen Code auf anfälligen Systemen ausführen.
Anschließend nutzen die Angreifer den kompromittierten E-Mail-Server, um Nachrichten mit gefälschten Zimbra-Wartungsbenachrichtigungen an ihre Opfer zu senden. Die E-Mails enthalten einen Link, der zu einer gefälschten Zimbra-E-Mail-Anmeldeseite führt und es den Angreifern ermöglicht, die Anmeldeinformationen der Benutzer zu sammeln.
Russische Angreifer nutzten bereits vor wenigen Monaten einen Fehler in Zimbra aus, um in staatliche E-Mail-Systeme der Ukraine einzudringen, worüber die Cyberabwehr das Landesamtes für Verfassungsschutz Baden-Württemberg informierte und auch hiesigen Nutzern ein Update empfahl. Auch im aktuellen Fall ist ein Großteil der Opfer in der Ukraine verortet. Eine klare Attribution zu einem Angreifer ist bislang nicht möglich.
Zurzeit gibt es kein Update von Zimbra, welches die Sicherheitslücke schließt. Jedoch bietet der Hersteller eine Kurzanleitung an, anhand derer die Benutzer die Schwachstelle eigenständig schließen können.
Aktuell scheinen sich die Angreifer auf ukrainische Stellen zu konzentrieren. Jedoch können aufgrund der fortdauernden Unterstützung der Ukraine durch Deutschland auch deutsche Ziele ins Fadenkreuz geraten.
Die Cyberabwehr des Landesamts für Verfassungsschutz rät daher zur manuellen Schließung der Schwachstelle anhand der von Zimbra veröffentlichten Kurzanleitung.
[1] https://www.malwarebytes.com/blog/news/2023/07/act-now-unpatched-zimbra-vulnerability-is-actively-exploited und
https://www.malwarebytes.com/blog/news/2022/02/threat-actor-steals-email-with-zimbra-zero-day