Aanvallers maken actief misbruik van een kwetsbaarheid waardoor het mogelijk is om commando's op Zimbra-mailservers uit te voeren, zo waarschuwt securitybedrijf Proofpoint. Zimbra kwam vorige maand met beveiligingsupdates voor het probleem, aangeduid als CVE-2024-45519. Eind september verscheen er proof-of-concept exploitcode online. Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige commando's op de mailserver uitvoeren.

In het beveiligingsbulletin spreekt Zimbra van het uitvoeren van commando's, terwijl Proofpoint het over remote code execution heeft. Bij de aanvallen versturen de aanvallers e-mails die van Gmail afkomstig lijken en in het CC-veld de malafide commando's bevatten. Volgens securitybedrijf HarfangLab vindt er inmiddels grootschalig misbruik plaats. Via de kwetsbaarheid installeren de aanvallers een webshell, zodat ze toegang tot de mailserver behouden en verdere aanvallen kunnen uitvoeren.

Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. Organisaties worden dan ook opgeroepen de update te installeren mocht dat nog niet zijn gedaan.