Aanvallers maken op dit moment actief misbruik van verschillende kwetsbaarheden in de Zimbra Collaboration Suite. Systeembeheerders moeten hun servers dan ook vandaag nog updaten, mocht dat nog niet zijn gedaan, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security. Organisaties die de betreffende patches niet meteen na het uitkomen hebben geïnstalleerd moeten hun servers op de aanwezigheid van aanvallers controleren, zo adviseert de overheidsinstantie.

Zimbra is een collaborative software suite die onder andere mailserversoftware en een webmailclient bevat. De software zou door meer dan 200.000 organisaties wereldwijd worden gebruikt. De afgelopen maanden zijn verschillende kwetsbaarheden in de software gevonden (CVE-2022-27924, CVE-2022-27925, CVE-2022-37042, CVE-2022-30333 en CVE-2022-24682) waar aanvallers inmiddels actief misbruik van maken.

Via de beveiligingslekken kunnen aanvallers inloggegevens en sessiecookies stelen en in het ergste geval kwetsbare Zimbra-servers volledig overnemen. Onlangs meldde securitybedrijf Volexity dat het meer dan duizend Zimbra-servers had aangetroffen die van een backdoor waren voorzien. Organisaties die beschikbare updates niet meteen hebben geïnstalleerd moeten volgens het CISA aannemen dat hun servers zijn gecompromitteerd en naar de aanwezigheid van eventuele aanvallers zoeken.

In het geval van een gecompromitteerde Zimbra-server moeten organisaties informatie over de aanvallers verzamelen, de server in quarantaine plaatsen of offline halen, het systeem volledig opnieuw installeren en als laatste gebruikers van nieuwe inloggegevens voorzien.