Zimbra: Angreifer missbrauchen Sicherheitslücke bei Regierungen des NATO-Bundes
Die US-Cyber-Sicherheitsbehörde CISA warnt davor, dass eine Sicherheitslücke in Zimbra missbraucht wird. Betroffen sind Regierungen des NATO-Bündnisses.
(Bild: Michael Traitov/Shutterstock.com)
Die US-Cyber-Sicherheitsbehörde CISA hat eine Schwachstelle in der Groupware Zimbra in den Known-Exploited-Vulnerabilities-Katalog (KEV) aufgenommen. Der IT-Sicherheitsdienstleister Proofpoint berichtet, die Angreifer würden dadurch Webmail-Portale von Regierungen angreifen, die dem NATO-Bündnis angehören. Die im Verdacht stehende Cybergang "Winter Vivern" habe Verbindungen zu Russland und Belarus.
Lesen Sie auch
Millionen verwundbare Systeme stehen offen im Netz
Die missbrauchte Sicherheitslücke findet sich in Zimbra vor Version 9.0.0 Patch 24 aus dem April vergangenen Jahres. Es handelt sich um eine sogenannte Reflected-Cross-Site-Scriping-Lücke. Sie erlaubt unauthentifizierten Angreifern aus dem Netz, durch präparierte Anfrage-Parameter beliebigen Skript-Code oder HTML einzuschleusen und auszuführen (CVE-2022-27926, CVSS 6.1, Risiko "mittel"). Da sie offenbar von Angreifern derzeit aktiv missbraucht wird, hat die CISA sie in den KEV-Katalog aufgenommen – US-Behörden müssen die Lücke dadurch bis zum 24. April abdichten.
IT-Sicherheitsforscher liefern Angriffs-Details
Die IT-Forscher von Proofpoint haben Angriffe einer Gruppierung beobachtet, die sie als Advanced Persistant Threat (APT) TA473 führen. Sie ist auch unter dem Namen "Winter Vivern" oder dem Kürzel UAC-0114 bekannt. Ihre ersten Aktivitäten aus dem Umfeld reichen bis ins Jahr 2021 zurück. In einem Blog-Beitrag erläutern sie Details.
Die Cybergang greift öffentlich erreichbare Zimbra-Webmail-Portale an. Das Ziel sei, Zugriff auf E-Mails von Militär, Regierungen und diplomatischen Organisationen aus Europa zu erlangen, die in den Russland-Ukraine-Krieg verwickelt sind. Seit Ende 2022 beobachtet Proofpoint auch Angriffe auf US-Offizielle. Die Gruppe nutze Werkzeuge wie Acunetix, um ungepatchte Webmail-Portale aufzuspüren. Nach den initialen Ausforschungen senden die Cyberkriminellen dann gezielt Phishing-E-Mails an potenzielle Opfer, die vorgeben, relevante Regierungsinhalte zu enthalten. Im Body der E-Mail finden sich jedoch bösartige Links, die mehrfach mit Base64 verschleiertes JavaScript in den Webmail-Portalen der Opfer ausführen und so die Sicherheitslücke in Zimbra ausnutzen.
Die Skripte sind jeweils individuell an die anvisierte Organisation angepasst und erlauben den Cyberkriminellen, Nutzernamen, Passwörter, Token von aktiven Sitzungen und CSRF-Tocken zu stehlen. Damit können sie sich dann selbst am Webmail-Portal anmelden und unbefugt auf E-Mails zugreifen und sich gegebenenfalls weiter einnisten und ausbreiten. Proofpoint listet noch einige URLs als "Indicator Of Compromise" (IOCs) auf, also Indizien für eine Infektion. IT-Verantwortliche können sie nutzen, um die Mails auf ihr Vorkommen zu untersuchen.
Auf jeden Fall sollten Administratoren jetzt schleunigst die bereitstehenden Zimbra-Patches anwenden, um potenziellen Schaden und unerwünschten Informationsabfluss zu verhindern. Idealerweise erfolgt das Update auf den aktuellen Stand, mindestens jedoch sollte die angegriffene Sicherheitslücke mit dem Release Zimbra 9.0.0 Patch 24 abgedichtet werden.
Zimbra-Schwachstellen werden von Cyberkriminellen oft zeitnah angegriffen. Mitte vergangenen Jahres verknüpften Angreifer etwa zwei Schwachstellen, um tausende Zimbra-Instanzen zu kompromittieren.
(dmk)