Zerodaylek in Zimbra gebruikt voor het stelen van e-mails en bijlagen

[Captain Kirk]

Aanvallers maken gebruik van een zerodaylek in e-mailsoftware Zimbra voor het stelen van e-mails en bijlagen. Volgens securitybedrijf Volexity zijn de aanvallen gericht tegen Europese overheidsinstanties en mediabedrijven. Zimbra is een collaborative software suite die onder andere een mailserversoftware bevat en een webmailclient.

Bij de nu waargenomen aanvallen versturen de aanvallers e-mails die een malafide link bevatten. Deze link maakt misbruik van een cross-site scripting (XSS)-kwetsbaarheid in Zimbra. Wanneer een op Zimbra ingelogde gebruiker deze link opent wordt er JavaScript geladen waarmee e-mails en bijlagen worden gestolen. De e-mails van de aanvallers, die in december werden verstuurd, hadden verschillende onderwerpen, variërend van kerstwensen tot berichten van Amazon en uitnodigingen voor gesprekken over mensenrechten.

De onderzoekers waarschuwen dat de kwetsbaarheid meer mogelijk maakt dan alleen het stelen van e-mail. Zo kunnen cookies worden gestolen om toegang tot de mailbox te behouden, kan de aanvaller phishingmails naar contacten van de gebruiker versturen en is het mogelijk om een prompt te tonen waarin een download met malware wordt aangeboden.

Volgens Volexity zijn Zimbra 8.8.15 P29 en P30 kwetsbaar. Het probleem lijkt niet aanwezig te zijn in versie 9.0.0 van de software. Zimbra claimt dat tweehonderdduizend bedrijven en meer dan duizend overheidsinstanties en financiële instellingen met de software werken. Een CVE-nummer en beveiligingsupdate zijn nog niet beschikbaar. Zimbra zou wel over het probleem zijn ingelicht en dit hebben bevestigd.

 

bron: https://www.security.nl