Aanvallers zijn erin geslaagd om bijna negenhonderd Zimbra-servers via een kritieke kwetsbaarheid over te nemen, zo stelt antivirusbedrijf Kaspersky. Een week geleden bracht Zimbra een beveiligingsupdate voor het probleem uit, dat zeker sinds begin september bij aanvallen is misbruikt. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

Zimbra-mailservers zijn geregeld het doelwit van aanvallen, zo kwam de Amerikaanse overheid in augustus nog met een waarschuwing om de software up-to-date te houden. Zimbra maakt gebruik van antivirussoftware Amavis om archiefbestanden om malware te scannen. Het nu aangevallen probleem doet zich voor bij Zimbra-mailservers die archiveringstool cpio gebruiken voor het controleren van de inhoud van archiefbestanden.

Door het versturen van een speciaal geprepareerd archiefbestand dat door cpio wordt uitgepakt kan een aanvaller naar elk pad op het filesystem schrijven waar de Zimbra-gebruiker toegang toe heeft. Op deze manier is het mogelijk om een webshell te installeren en zo willekeurige code op de mailserver uit te voeren.

Vorige maand kwam Zimbra zelf met een waarschuwing en advies om cpio te vervangen door archiveringstool pax, dat niet kwetsbaar is. Pax is standaard geïnstalleerd op Ubuntu. Ubnuntu-gebaseerde installaties van Zimbra zijn dan ook niet kwetsbaar. Dat is wel het geval bij Zimbra-installaties gebaseerd op Oracle Linux 8, Red Hat Enterprise Linux 8, Rocky Linux 8 en CentOS 8.

Volgens Kaspersky maken verschillende advanced persistent threat (APT) groepen misbruik van de kwetsbaarheid, waarbij één APT-groep "systematisch" alle kwetsbare Zimbra-servers in Centraal-Azië infecteert, aldus de virusbestrijder. Zimbra kwam vorige week met een beveiligingsupdate voor het probleem.