Verschiedene öffentliche Quellen berichten derzeit über Angriffe auf die Zimbra Collaboration Suite, eine E-Mail- und Groupwarelösung, die in einigen Institutionen als Alternative zu Microsoft Exchange im Einsatz ist.
Demnach könnten Angreifende eine momentan noch nicht geschlossene Schwachstelle ausnutzen, um mithilfe einer manipulierten E-Mail Schreibrechte auf dem betroffenen System zu erlangen und so zum Beispiel eine Shell installieren. Ursächlich ist eine Schwachstelle im Tool cpio, das keine Möglichkeit zur sicheren Verarbeitung von nicht-vertrauenswürdigen Dateien mitbringt.
Die Schwachstelle wird in den Common Vulnerabilities and Exposures (CVE) unter der Nummer CVE-2022-41352 geführt und nach Common Vulnerability Scoring System (CVSS) v3.1 mit 9.8 von 10 Punkten als “kritisch” bewertet. Gleichzeitig wird darauf hingewiesen, dass nur diejenigen Systeme verwundbar sind, die cpio einbinden.
Sofern die Zimbra Collaboration Suite in Verbindung mit dem pax Paket zum Einsatz kommt – hierunter fällt auch die Standard-Konfiguration unter Ubuntu – kann die Schwachstelle nicht ausgenutzt werden. Nach derzeitigem Kenntnisstand liegt die Sicherheitslücke in der Zimbra Collaboration Suite insbesondere in der Standard-Konfiguration auf Red Hat-basierten Linux-Distributionen vor. Eine abschließende Nennung der betroffenen Plattformen ist zum aktuellen Zeitpunkt zwar nicht möglich, allerdings besteht u.a. bei folgenden Versionen ein erhöhtes Risiko:
- Oracle Linux 8
- Red Hat Enterprise Linux 8
- Rocky Linux 8
- CentOS 8
Bewertung
E-Mail- und Groupwarelösungen stellen aufgrund ihrer zentralen Bedeutung für Institutionen attraktive Ziele für Cyber-Angriffe dar. Angreifende können dort Schwachstellen nutzen, um Informationen abzugreifen bzw. zu manipulieren, sich weiter im Netz der Organisation ausbreiten oder weitere Angriffe auf andere Institutionen durchführen. IT-Sicherheitsverantwortliche sollten die Absicherung dieser Systeme daher zeitnah mit erhöhter Priorität verfolgen, zumal aufgrund der Veröffentlichung dieses Sachverhalts kurzfristig mit einer Zunahme der ohnehin schon stattfindenden Angriffsversuche gerechnet werden muss.
Maßnahmen
Der Hersteller empfiehlt die ausschließliche Nutzung von pax. IT-Sicherheitsverantwortliche sollten die Installation kurzfristig prüfen und nach der Durchführung einen Neustart des Systems vornehmen
Update 1:
Inzwischen stellt Zimbra auf seiner Webseite ein Sicherheitsupdate zur Verfügung, das auch die o.g. Schwachstelle schließt. IT-Sicherheitsverantwortliche sollten die Installation des Patches kurzfristig prüfen – unabhängig davon, ob cpio oder pax zum Einsatz kommen.
www.bsi.bund.de