Federale Amerikaanse overheidsinstanties moeten een actief aangevallen kwetsbaarheid in Zimbra-webmail voor 11 maart hebben gepatcht, zo heeft het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security opgedragen. Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat.

Securitybedrijf Volexity waarschuwde op 3 februari voor een actief aangevallen zerodaylek in Zimbra waar op dat moment geen beveiligingsupdate voor beschikbaar was. Bij de nu waargenomen aanvallen versturen de aanvallers e-mails die een malafide link bevatten. Deze link maakt misbruik van een cross-site scripting (XSS)-kwetsbaarheid in Zimbra. Wanneer een op Zimbra ingelogde gebruiker deze link opent wordt er JavaScript geladen waarmee e-mails en bijlagen worden gestolen.

Zimbra was op 16 december over de kwetsbaarheid gewaarschuwd. Volexity vroeg naar eigen zeggen verschillende keren wanneer een patch of andere oplossing beschikbaar was, maar kreeg geen reactie. Daarop publiceerde het securitybedrijf de details van de aanval. Op 5 februari kwam Zimbra met een hotfix, die als tijdelijke oplossing werkt terwijl er een volledige update wordt ontwikkeld.

Het CISA houdt een lijst bij van actief aangevallen kwetsbaarheden en stelt vervolgens deadlines wanneer federale overheidsinstanties de update voor het betreffende probleem moeten installeren. De lijst wordt geregeld met nieuw aangevallen beveiligingslekken uitgebreid. De nieuwste toevoeging aan de lijst bevat in totaal vier kwetsbaarheden waarvan vaststaat dat ze zijn aangevallen. Naast drie oude kwetsbaarheden daterend van 2014 en 2017 gaat het ook om het Zimbra-lek. Deze kwetsbaarheid moet voor 11 maart zijn verholpen, aldus het CISA.