Duizend Zimbra-mailservers bij grootschalige aanval voorzien van backdoor

[Captain Kirk]

Aanvallers zijn erin geslaagd om bij een grootschalige aanval meer dan duizend Zimbra-mailservers van een backdoor te voorzien. Dat stelt securitybedrijf Volexity, dat begin vorig jaar ook een grote aanval op Exchange-servers ontdekte. De getroffen Zimbra-mailservers zijn onder andere van overheden, ministeries, legeronderdelen en multinationals.

Begin dit jaar kwam Zimbra met een beveiligingsupdate voor een path traversal-kwetsbaarheid (CVE-2022-27925). Via een malafide zip-bestand is het mogelijk om willekeurige bestanden op het systeem te overschrijven. In eerste instantie werd gemeld dat het beveiligingslek alleen is te misbruiken wanneer aanvallers over de inloggegevens van de beheerder beschikken. Volexity ontdekte bij onderzoek naar gecompromitteerde servers dat de kwetsbaarheid echter ook door een ongeauthenticeerde aanvaller is te misbruiken, wat de kans op misbruik vele malen groter maakt.

Verder onderzoek wees uit dat aanvallers op grote schaal misbruik maakten van het lek om webshells op kwetsbare servers te installeren. Een webshell is een script dat aanvallers op servers plaatsen om toegang te behouden en op afstand code en commando's uit te voeren. Volgens Volexity maakten eerst op spionage gerichte aanvallers misbruik van de kwetsbaarheid, maar hebben inmiddels ook andere actoren zich hierop gestort. Zimbra kwam eind juli met een update voor het lek (CVE-2022-37042) dat het mogelijk maakt om de authenticatie te omzeilen. De Zimbra-software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt.

 

bron: https://www.security.nl