Zimbra: Codeschmuggel-Lücke wird angegriffen
In der Kollaborationssoftware Zimbra klafft eine Sicherheitslücke, die Angreifer bereits aktiv missbrauchen. Admins sollten zügig updaten.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
In der Groupware Zimbra klafft eine Sicherheitslücke, die das Einschleusen und Ausführen von Schadcode ermöglicht. Angreifer missbrauchen die Schwachstelle bereits in freier Wildbahn. IT-Verantwortliche mit Zimbra-Installationen sollten die bereitstehenden Aktualisierungen zügig installieren.
Die IT-Sicherheitsforscher von Proofpoint haben Informationen auf X zu den Angriffen auf die Zimbra-Lücke veröffentlicht. Demnach haben die Angriffe auf die Schwachstelle mit der CVE-Nummer CVE-2024-45519 bereits am 28. September begonnen. Angreifer haben dabei E-Mails mit gefälschter Gmail-Absenderadresse an gefälschte E-Mail-Adressen im CC:-Feld geschickt und so versucht, Zimbra sie verarbeiten und als Befehle ausführen zu lassen. Die Adressen enthielten Base64-kodierte Zeichenketten, die mit sh an der Shell ausgeführt werden. Der eigentliche Schadcode stammt von demselben Server, von dem auch die Exploit-E-Mails stammen. Die Ursache dafür hat Proofpoint noch nicht herausgefunden. Die Zuordnung der Angreifer zu bekannten kriminellen Gruppierungen ist derzeit ebenfalls noch unklar.
Angreifer richten Webshells ein
Einige E-Mails vom gleichen Versender haben eine Reihe von CC:-Adressen genutzt und versucht, damit eine Webshell auf verwundbaren Zimbra-Servern einzurichten. Die komplette CC:-Liste ist in einen String verpackt. Sofern man die Base64-Blobs verbindet, dekodieren sie in einen Befehl, der eine Webshell in die Datei /jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp schreibt. Die Webshel selbst hört auf eingehende Verbindungen mit einem bestimmten JSESSIONID-Cookie-Feld. Sofern das vorhanden ist, verarbeitet die Webshell das JACTION-Cookie und sucht nach Base64-kodierten Befehlen.
Die Webshell kann Befehle mittels exec ausführen oder Dateien über eine Socket-Verbindung herunterladen und ausführen, schließt die Proofpoint-Analyse. Interessierte finden mehr Details bei Projectdiscovery. Die IT-Forscher analysieren in einem Blog-Beitrag die Sicherheitslücke in Zimbra und stellen anhand der Funde die Entwicklung eines Exploits vor. Der funktioniert erst, nachdem die IT-Analytiker die Option "postjournal" aktiviert haben, was standardmäßig offenbar nicht der Fall ist.
Auf Zimbras Webseite findet sich ein knapper Hinweis auf die Sicherheitslücke. Mit neuen Softwareversionen schließen die Entwickler demnach eine Sicherheitslücke im postjournal-Dienst, die Angreifern ohne vorherige Authentifizierung das Ausführen von Befehlen ermögliche. Informationen zu der CVE-Nummer CVE-2024-45519 sind derzeit noch nicht öffentlich – die genaue Schwachstellenbeschreibung, konkreter CVSS-Wert und Risikoeinstufung fehlen daher noch. Die Aktualisierung auf die fehlerbereinigten Versionen Zimbra 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9 sowie 10.1.1 stopft das Sicherheitsleck. Sie schließen noch weitere Sicherheitslücken wie eine Server-Side-Request-Forgery, die unbefugten Zugriff auf interne Dienste ermöglicht und weitere. Admins sollten die bereitstehenden neuen Installationspakete von der Zimbra-Downloadseite umgehend herunterladen und installieren, sofern ihre Installationen noch nicht auf dem aktuellen Stand sind.
Mitte vergangenen Jahres fanden ebenfalls Angriffe auf eine Sicherheitslücke in Zimbra statt. Damals handelte es sich um eine Cross-Site-Scripting-Schwachstelle. Angreifer konnten dadurch unberechtigt auf Dateien zugreifen.
(dmk)