Zimbra CVE-2024-27443 XSS-Fehler trifft 129.000 Server, Sednit vermutet
Eine kritische XSS-Sicherheitslücke (CVE-2024-27443) in der CalendarInvite-Funktion der Zimbra Collaboration Suite wird aktiv ausgenutzt, möglicherweise von der Hackergruppe Sednit. Erfahren Sie, wie Angreifer durch diese Schwachstelle Benutzersitzungen kompromittieren können und warum sofortiges Patchen unerlässlich ist.
In der Zimbra Collaboration Suite (ZCS) , einer beliebten E-Mail- und Collaboration-Plattform, wurde eine neue Sicherheitslücke entdeckt. Das Problem mit der Klassifizierung CVE-2024-27443 betrifft Cross-Site-Scripting (XSS), das Angreifern den Diebstahl von Informationen oder die Übernahme von Benutzerkonten ermöglichen könnte.
Das Problem liegt insbesondere in der CalendarInvite-Funktion der Zimbra Classic Web Client-Oberfläche. Es entsteht, weil das System eingehende Informationen im Kalender-Header von E-Mails nicht ordnungsgemäß prüft.
Dieses Versehen eröffnet die Möglichkeit eines gespeicherten XSS-Angriffs . Das bedeutet, dass ein Angreifer schädlichen Code in eine speziell gestaltete E-Mail einbetten kann. Öffnet ein Nutzer diese E-Mail über die klassische Zimbra-Oberfläche, wird der Schadcode automatisch in seinem Webbrowser ausgeführt und ermöglicht dem Angreifer Zugriff auf seine Sitzung. Der Schweregrad dieser Sicherheitslücke wird mit einem CVSS-Score von 6,1 als mittel eingestuft. Betroffen sind die ZCS-Versionen 9.0 (Patches 1–38) und 10.0 (bis 10.0.6).
Laut Censys, einem Unternehmen für Cybersicherheitsanalysen, waren am Donnerstag, dem 22. Mai 2025, als der ursprüngliche Bericht veröffentlicht wurde, eine beträchtliche Anzahl von möglicherweise anfälligen Instanzen der Zimbra Collaboration Suite online verfügbar.
Censys beobachtete weltweit insgesamt 129.131 potenziell anfällige ZCS-Instanzen, die meisten davon in Nordamerika, Europa und Asien. Ein Großteil davon wird in Cloud-Diensten gehostet. Zusätzlich wurden 33.614 lokale Zimbra-Hosts identifiziert, die häufig mit gemeinsam genutzter Infrastruktur verbunden sind.
Die Schwachstelle wurde am 19. Mai 2025 offiziell zum Known Exploited Vulnerabilities (KEV)-Katalog der CISA hinzugefügt , was bestätigt, dass sie aktiv von Angreifern ausgenutzt wird.
Sicherheitsforscher von ESET vermuten, dass die bekannte Hackergruppe Sednit (PDF) (auch bekannt als APT28 oder Fancy Bear) an der Ausnutzung der Schwachstelle beteiligt sein könnte. Die ESET-Forscher vermuten, dass die Sednit-Gruppe diese Schwachstelle im Rahmen einer größeren Operation namens RoundPress ausnutzt, deren Ziel der Diebstahl von Anmeldedaten und der Zugriff auf Webmail-Plattformen ist. Obwohl es derzeit keinen öffentlichen Proof-of-Concept (PoC)-Exploit gibt, unterstreicht die aktive Ausnutzung die Dringlichkeit für Nutzer, aktiv zu werden.
Die gute Nachricht ist, dass Patches für diese Sicherheitslücke verfügbar sind. Zimbra hat das Problem in ZCS Version 10.0.7 und 9.0.0 Patch 39 behoben. Benutzern wird dringend empfohlen, ihre Zimbra Collaboration Suite umgehend auf diese Patches zu aktualisieren, um sich vor potenziellen Angriffen zu schützen.
HackRead
