Aandacht voor aanvallen op Zimbra omgevingen

Het Digital Trust Center (DTC) waarschuwde in 2022 onder andere voor een kritieke kwetsbaarheid (CVE-2022-27924) die op grote schaal wordt misbruikt. Vanwege het gemak waarmee de kwetsbaarheid te misbruiken was verhoogde het Nationaal Cyber Security Centrum (NCSC) destijds de inschaling van het beveiligingsadvies naar een High/High kwetsbaarheid. Dit betekent dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn.

Onlangs heeft het DTC opnieuw lijsten met IP-adressen ontvangen met Zimbra Systemen in Nederland die mogelijk nog kwetsbaar zijn. Het DTC notificeert de bedrijven die te herleiden zijn op basis van deze lijst. Enkele Zimbra kwetsbaarheden worden al actief misbruikt en krijgen een CVSS-score van 9,8 wat betekent dat het om zeer kritieke kwetsbaarheden gaat.

Wat kan ik doen?

Het up-to-date houden van software is van groot belang om misbruik van bestaande kwetsbaarheden te voorkomen. Wanneer software direct benaderbaar is vanaf het internet, zoals vaak het geval is bij Zimbra installaties, dan neemt de kans op misbruik toe. Het advies is dan ook om Zimbra installaties zo snel mogelijk te voorzien van de laatst beschikbare updates.

Daarnaast is het goed gebruik om systemen op zo'n manier te configureren en beveiligen dat het risico op misbruik zo klein mogelijk is. Bijvoorbeeld door een management interface niet via het internet te ontsluiten. In het geval van Zimbra wordt nog wel eens de zogenoemde 'Memcache service' direct benaderbaar gemaakt voor het internet. In de meeste gevallen gaat het hier om een configuratiefout en is het advies dit dicht te zetten door verkeer naar de Memcache service (port 11211) te blokkeren. Heeft de Memcache service direct benaderbaar gestaan vanaf het internet, dan is het advies om de Zimbra omgeving te (laten) controleren op mogelijk misbruik.