De Amerikaanse autoriteiten waarschuwen voor een actief aangevallen kwetsbaarheid in de Zimbra-mailserversoftware waardoor een ongeauthenticeerde aanvaller op afstand plain text inloggegevens van e-mailaccounts kan stelen zonder enige interactie van gebruikers. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.
Een kwetsbaarheid in de mailserversoftware, aangeduid als CVE-2022-27924, maakt het mogelijk om waardes in de cache aan te passen. Hiervoor hoeft een aanvaller alleen een speciaal geprepareerd http-request naar de server te sturen. Zo is de opgeslagen route naar bijvoorbeeld de IMAP-server te veranderen in een server van de aanvallers. Wanneer een gebruiker vervolgens inlogt zullen zijn inloggegevens naar de malafide opgegeven server worden doorgestuurd, zonder dat een gebruiker dit doorheeft. Daarbij hoeft een aanvaller niet eens het e-mailadres van een doelwit te weten. De aanval werkt niet tegen gebruikers die alleen van de Zimbra-webmailclient gebruikmaken. Doelwitten moeten via het IMAP- of POP-protocol inloggen.
Zimbra werd op 11 maart van dit jaar over de kwetsbaarheid ingelicht en heeft inmiddels beveiligingsupdates uitgebracht om het probleem te verhelpen. De Shadowserver Foundation waarschuwde in juni dat het 30.000 mogelijk kwetsbare Zimbra-installaties op internet had gevonden, waarvan ruim driehonderd in Nederland. Gisterenavond maakte het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security bekend dat aanvallers actief misbruik maken van het lek en roept federale overheidsinstanties op om de update voor 25 augustus te installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.