image

'Nederland telt ruim tweehonderd Zimbra-mailservers met kritiek beveiligingslek'

maandag 7 oktober 2024, 11:33 door Redactie, 9 reacties

Ruim tweehonderd Zimbra-mailservers in Nederland missen een beveiligingsupdate voor een op grote schaal aangevallen kritieke kwetsbaarheid, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. Wereldwijd werden er bijna twintigduizend kwetsbare servers geteld. Zimbra kwam vorige maand met beveiligingsupdates voor het probleem, aangeduid als CVE-2024-45519. Eind september verscheen er proof-of-concept exploitcode online.

Via het beveiligingslek kan een ongeauthenticeerde aanvaller willekeurige commando's op de mailserver uitvoeren. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Vorige week lieten securitybedrijven weten dat aanvallers op grote schaal misbruik van de kwetsbaarheid maken. Alleen het versturen van een e-mail met in de CC malafide commando's is voldoende om commando's op de server uit te voeren.

Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. The Shadowserver Foundation houdt zich bezig met de bestrijding van cybercrime en voert geregeld scans uit naar kwetsbare systemen op internet, om vervolgens eigenaren, netwerkproviders of CERTs te waarschuwen.

De scan naar kwetsbare Zimbra-mailservers leverde bijna twintigduizend servers op. In Duitsland, de Verenigde Staten en Rusland werden met elk zo'n zestienhonderd kwetsbare servers de meeste ongepatchte machines aangetroffen. In Nederland gaat het om 223 mailservers. Zimbra en het Digital Trust Center van het ministerie van Economische Zaken kwamen vorige week nog met een waarschuwing voor het beveiligingslek.

Reacties (9)
07-10-2024, 11:38 door Anoniem
Je vraagt je af wat de makers van dergelijke software bezielt, als het echt zo makkelijk is.
07-10-2024, 11:55 door Anoniem
Ik blokkeer deze organisaties om verschillende redenen:

False positives in IDS
Onnodig ophouden van mijn services (availability)
Ruis in mijn logs
Bandbreedte (Ik wens geen Acks te sturen. Syn gaat rechtstreeks naar de prullenbak)
Levert mij niks op
07-10-2024, 12:29 door Bitje-scheef
Door Anoniem: Je vraagt je af wat de makers van dergelijke software bezielt, als het echt zo makkelijk is.

Soms is het gewoon afhankelijkheid van een library.
07-10-2024, 13:01 door Anoniem
Het is toch al meer dan een maand geleden dat de fix is uitgekomen. Waarom wordt er niet gepatcht? Zijn dit allemaal windows servers? want op een MAc of Linux kan dit toch snel en betrouwbaar hoor.
07-10-2024, 14:06 door Anoniem
Waar is de DIVD als je ze nodig hebt?
07-10-2024, 19:51 door Anoniem
Ruim 700 "portscanners" heeft The Shadowserver Foundation hier in de blocklist gemanouvreerd.
Deze "onderzoek" scanners lopen voortdurend het hele internet af om te kijken of er nog wat van hun gading is.
En dat niet alleen die club, nee dat doen talloze clubs.
Alleen maar om dan weer ronkende persberichten de deur uit te doen gaan over hun kwaliteiten.

Het wordt tijd dat hier eens een eind aan wordt gemaakt.
Shadowserver zit bij Hurricane Electric, waarom laten die dit toe als geoorloofd gebruik van hun VPS'en?
(idem voor andere hosters zoals Microsoft (Stretchoid), Zenlayer (Internet Census), DigitalOcean (BinaryEdge.ninja),
Censys-scanner, en dan nog al die "universiteiten".
Het loopt werkelijk de spuigaten uit!!
07-10-2024, 20:01 door Anoniem
Hebben ze ook ZorgMail onderzocht? Die gebruikt(e) ook nog een sterk verouderde Zimbra server als MTA.
08-10-2024, 09:58 door _R0N_ - Bijgewerkt: 08-10-2024, 09:59
Door Anoniem: Het is toch al meer dan een maand geleden dat de fix is uitgekomen. Waarom wordt er niet gepatcht? Zijn dit allemaal windows servers? want op een MAc of Linux kan dit toch snel en betrouwbaar hoor.

Nee, allemaal Linux.
Zimbra is gewoon een ruk product

als het Windows servers waren geweest waren ze allemaal gepatcht, dat gaat namelijk wel eenvoudig.
08-10-2024, 12:00 door Anoniem
Door _R0N_:
Door Anoniem: Het is toch al meer dan een maand geleden dat de fix is uitgekomen. Waarom wordt er niet gepatcht? Zijn dit allemaal windows servers? want op een MAc of Linux kan dit toch snel en betrouwbaar hoor.

Nee, allemaal Linux.
Zimbra is gewoon een ruk product

als het Windows servers waren geweest waren ze allemaal gepatcht, dat gaat namelijk wel eenvoudig.
Mag je jokken? Dat zien we inderdaad bij al die ransomware incidenten hoe makkelijk dat gaat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.