Mehr als 10.500 im Internet exponierte Zimbra-Instanzen sind gegen aktive Angriffe verletzlich Laut der Überwachung des Sicherheits-NGO Shadowservers und des betroffenen Ausfalls (CVE-2025-48700) wurde bereits von der U.S. Infrastructure and Cybersecurity Agency als in der Natur ausgebeutet. USA (CISA). Zimbra ist eine Plattform von Post und Zusammenarbeit, die in Regierungen und Unternehmen weit verbreitet ist; diese Kombination von Popularität und exponierten Servern macht jeden kritischen Ausfall ein leistungsfähiges Ziel für kriminelle und staatliche Akteure.
Technisch gesehen ist CVE-2025-48700 eine Cross-Site-Scribing (XSS) Schwachstelle, die willkürliche JavaScript im Kontext der Benutzersitzung ausführen lässt, wenn es eine bösartige Nachricht in der klassischen Zimbra-Schnittstelle visualisiert. Laut Herstelleranmerkung erfordert die Operation keine zusätzliche Benutzerinteraktion, was ihre Gefahr erhöht, da eine Meldung, die einfach öffnet, den Diebstahl von Anmeldeinformationen, die Entführung von Sitzungen und die Exfiltration von E-Mails ermöglichen kann.
Synacor veröffentlichte Patches im Juni 2025 für die betroffenen Versionen - einschließlich ZCS 8.8.15, 9.0, 10.0 und 10.1 - und seitdem haben Forscher Kampagnen beschrieben, die ähnliche Fehler nutzen, um übergenutzte JavaScript-Lastungen zu verteilen und Informationen in gefährdeten Webmail-Sitzungen zu stehlen. Sie können den öffentlichen Datensatz des Ausfalls in der NVD-Datenbank für nationale Sicherheitslücken überprüfen: CVE-2025-48700 in NVD und Zimbras eigener Sicherheitshinweis und Patches im Wiki de Zimbra / Synacor: Sicherheitshinweise von Zimbra.
Die Risikoerkennung war ausreichend für die CISA fügt seinem Known Exploited Vulnerabilities (KEV) Katalog Schwachstelle hinzu und Leitlinien für Bundesagenturen ausstellen, um sie mit Priorität zu mildern. Die Hinzufügung von KEV beinhaltet beschleunigte Abhilfeverpflichtungen für bestimmte Unternehmen und dient vor allem als Indikator, dass die Ausbeutung in der realen Welt stattfindet: CISA Eintritt in den KEV-Katalog.
Shadowserver, der exponierte Dienste verfolgt, berichtet, dass die meisten No-Patch-Server in Asien und Europa sind, was ein großes Gelegenheitsfenster für Angreifer anzeigt. Historisch wurden Zimbra-Versagen von bekannten APTs - wie APT28 (Fancy Bear) und APT29 (Cozy Bear) - für Phishing-Kampagnen verwendet, die nicht von Anhängen oder Makros abhängig sind, sondern ganz im HTML der Post und XSS leben, um schädliche Nutzlasten zu führen, wenn das Opfer die Nachricht öffnet.
Welches spezifische Risiko stellt das Ihrer Organisation dar? Ein engagierter Webmail-Server ermöglicht es einem Angreifer, eingehende und ausgehende E-Mails zu sammeln, Authentifizierungs-Token abzufangen, auf andere interne Systeme zu verschwenken und Suplanting-Kampagnen aus legitimen Richtungen einzurichten. In Regierungsumgebungen oder kritischer Infrastruktur kann die Exposition zu Verlusten an Intelligenz, Filtration sensibler Daten oder zum ersten Zugang für größere Angriffe führen.
Die empfohlene sofortige Aktion ist, die offiziellen Zimbra-Patches unverzüglich anzuwenden und die Installation zu validieren. Ist aus betrieblichen Gründen ein sofortiger Patch nicht möglich, vorübergehende Minderung die das Risiko reduzieren, umfassen die Einschränkung des öffentlichen Zugriffs auf die Webmail auf zuverlässige IP-Bereiche oder VPN, die Implementierung von Web Application Firewall (WAF) Regeln, um verdächtige Nutzlasten im Körper der E-Mails zu blockieren, die Wiederherstellung von Anmeldeinformationen und die Aktivierung von Multifaktor-Authentifizierung für alle Web-Mail-Benutzer. Shadowserver unterhält ein öffentliches Panel mit Metriken auf betroffenen Servern, die zur Priorisierung von Erkennungen dienen können: Shadowserver-Panel auf CVE-2025-48700.
Es ist nicht genug zu parken: Es ist wichtig zu erkennen, ob es bereits ein Engagement gegeben hat. Organisationen sollten nach anormalen Zugangsindikatoren in den Mail- und Weblogs suchen, Header und Post-Organe für osfuscated JavaScript-Muster überprüfen, Konten mit Off-Sedule-Aktivität prüfen und ausgehende Verbindungen von Mailservern überwachen. Wird eine Verpflichtung bestätigt, sollte die Antwort die Eindämmung des betroffenen Servers, die forensische Analyse, die Rotation der Anmeldeinformationen und die Notifizierung an die betroffenen Parteien und die zuständigen Behörden gemäß den geltenden Vorschriften enthalten.
Die Wiederholung von Kampagnen, die Schwachstellen in Zimbra missbrauchen, zeigt zwei Realitäten: die kritische Abhängigkeit von Post als Angriffsvektor und das langsame Tempo, mit dem viele Administratoren Updates in exponierten Diensten anwenden. IT- und Cybersicherheitsführer sollten die Grundhygiene priorisieren: schnelle Parkplätze, Zugriffssegmentierung und starke Authentifizierung denn in der Praxis sind diese Maßnahmen diejenigen, die den Angriffsbereich effektiver gegen bereits automatisierte und laufende Kampagnen reduzieren.
Wenn Sie eine offizielle Dokumentation benötigen, um den Patch oder die Abhilfe zu verwalten, lesen Sie die Seiten des Herstellers und die Sicherheitsagentur, um sicherzustellen, dass Sie die korrekten Korrekturen und die empfohlene Zeitbegrenzung anwenden. Das zu agierende Fenster ist kurz: die exponierten Server bleiben aktive Ziele und pro Tag ohne Patch erhöht die Wahrscheinlichkeit des Eindringens.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...