Die Sicherheitsexperten von ESET sehen die Open-Core-Plattform Zimbra im Fokus einer Phishing-Kampagne. Angreifer zielen bei der Collaboration-Plattform für E-Mails, Kontakte, Kalender und Aufgabenlisten auf ab.

Die meisten attackierten Organisationen befinden sich laut ESET in Polen. Darüber hinaus seien aber auch Unternehmen und Verwaltungen in anderen europäischen Ländern wie der Ukraine, Italien, Frankreich und der Niederlande betroffen. Die attackierten Organisationen gehörten unterschiedlichen Branchen an, die einzige Gemeinsamkeit sei die Nutzung von Zimbra, teilt ESET mit.

Die von ESET beobachtete Phishing-Kampagne sei technisch nicht sonderlich anspruchsvoll: Sie beruht ausschließlich auf Social-Engineering und Benutzerinteraktion. Dennoch verbreite sie sich schnell und kompromittiere Organisationen, die Zimbra verwenden würden.

Gefälschte Zimbra-Login-Seite. Quelle: ESET

Die Zielperson erhalte bei der Kampagne eine E-Mail mein einer angehängten HTML-Date, diese führt zu einer Phishing-Seite in der angehängten HTML-Datei. Die E-Mail warne den Empfänger vor einer Aktualisierung des E-Mail-Servers, einer Kontodeaktivierung oder einem ähnlichen Problem und fordert den Benutzer auf, die angehängte Datei zu öffnen. Nach dem Öffnen des Anhangs werde dem Benutzer eine gefälschte Zimbra-Anmeldeseite angezeigt, die auf das Zielunternehmen zugeschnitten sei. Im Hintergrund würden die eingegebenen Anmeldedaten aber aus dem HTML-Formular gesammelt und an einen vom Angreifer kontrollierten Server gesendet.

Der Beitrag Gezielte Phishing-Kampagne über Zimbra erschien zuerst auf Linux-Magazin.

Eine kritische Sicherheitslücke in der Groupware Zimbra wird Berichten zufolge bereits aktiv angegriffen. Bislang gibt es nur einen Workaround, der Abhilfe schafft.

Die ungepatchte Sicherheitslücke in der Zimbra Collaboration Suite ist laut den Experten von Rapid7 auf die Methode (cpio) zurückzuführen, mit der die Antivirus-Engine von Zimbra (Amavis) eingehende E-Mails scannt. Zimbra habe einen Workaround bereitgestellt, der darin besteht, das Utility pax zu installieren und die Zimbra-Dienste neu zu starten. Unter Ubuntu sei pax bereits standardmäßig installiert ist, so dass Ubuntu-basierte Zimbra-Installationen nicht von Haus aus anfällig seien, heißt es weiter. Durch eine Umstellung der Paketierung bei CentOS hingegen sei es wahrscheinlich, dass pax dort nicht installiert sei.

Um diese Schwachstelle auszunutzen, müsse ein Angreifer eine .cpio-, .tar- oder .rpm-Datei per E-Mail an einen betroffenen Server senden, heißt es bei Rapid7. Wenn Amavis die Datei auf Malware untersucht, und pax nicht vorhanden sei, verwende es cpio, um die Datei zu extrahieren. Da cpio keinen Modus aufweise, in dem es sicher auf nicht vertrauenswürdige Dateien angewendet werden kann, kann der Angreifer in jeden Pfad des Dateisystems schreiben, auf den der Zimbra-Benutzer zugreifen könne. Eine wahrscheinliche Angriffsvariante sei es, dass der Angreifer eine Shell in das Web-Root einschleuse, um Remote-Code-Ausführung zu erlangen, obwohl es auch andere Möglichkeiten gebe.

Der Beitrag Sicherheitslücke in Zimbra wird angegriffen erschien zuerst auf Linux-Magazin.