Actief misbruik van Zimbra-kwetsbaarheid

Update - Zimbra webshell scan

Het updaten van Zimbra verhelpt weliswaar de kwetsbaarheid, maar neemt een eventueel eerder geplaatste webshell niet weg. Het NCSC heeft een tool ontwikkeld om webshells die middels deze kwetsbaarheid geplaatst zijn voordat de update is geïnstalleerd, te detecteren. De tool is hier te vinden. 

Als je Zimbra gebruikt, is het advies om deze tool te gebruiken voor detectie van een potentiële webshell op je systeem. Vraag zo nodig je IT-dienstverlener om je hierbij te helpen. Voor verdere informatie hierover verwijzen wij je naar de handleiding, deze in het Nederlands en in het Engels beschikbaar.

Oorspronkelijk bericht

3 oktober 2024

Er zijn signalen van actief misbruik van een kwetsbaarheid in samenwerksoftware Zimbra Collaboration. Deze kwetsbaarheid wordt aangeduid met kenmerk CVE-2024-45519. Eerder hebben onderzoekers Proof-of-Concept-code gepubliceerd en er is een exploit beschikbaar. Daardoor is de kwetsbaarheid beoordeeld als ‘High/High’. Dit betekent dat zowel de kans op misbruik als de kans op schade groot is.

Wat is het risico?

Door middel van het versturen van een speciaal geprepareerde e-mail naar een kwetsbare server kan willekeurige code op de Zimbra-server worden uitgevoerd, waaronder het plaatsen van een webshell. Een webshell is een script, waarmee een kwaadwillende op afstand toegang kan houden tot de server of willekeurige code kan uitvoeren.

Wat kun je doen?

Synacor, het moederbedrijf van Zimbra Collaboration, heeft updates uitgebracht om de kwetsbaarheden te verhelpen. Het Digital Trust Center (DTC) adviseert om de Zimbra installaties zo snel mogelijk te voorzien van de beschikbare beveiligingsupdates en stel waar mogelijk ook monitoring in op aanvullend misbruik. Vraag zo nodig je IT-dienstverlener om je hierbij te helpen.