Hoher Anteil verwundbarer Zimbra-Server in Deutschland
Rund 40 Prozent der bekannten Zimbra-Server in Deutschland nutzen veraltete oder verwundbare Versionen. Aktuelle Sicherheitslücken mit hohem Schweregrad betreffen damit zahlreiche produktiv eingesetzte Systeme.
Viele Zimbra-Server in Deutschland sind nicht auf aktuellem Stand
In Deutschland stehen weiterhin hunderte Zimbra-Server mit bekannten Sicherheitslücken im Netz. Das CERT-Bund des Bundesamts für Sicherheit in der Informationstechnik weist darauf hin, dass ein erheblicher Teil der öffentlich erreichbaren Zimbra-Instanzen nicht auf einem aktuellen Softwarestand betrieben wird und damit unnötige Risiken für Betreiber und angeschlossene Netze entstehen.
Zimbra wird in vielen Organisationen als Alternative zu Microsoft Exchange eingesetzt und unterliegt – wie jede Groupware-Software – regelmäßigen sicherheitsrelevanten Aktualisierungen. Dennoch zeigt die aktuelle Lage, dass Updates in der Praxis häufig nicht zeitnah umgesetzt werden. Nach den dem CERT-Bund vorliegenden Erkenntnissen laufen rund 40 Prozent der etwa 1.500 bekannten Zimbra-Server in Deutschland entweder mit nicht mehr unterstützten Versionen oder sind für kritische Schwachstellen anfällig.
Aktuelle Sicherheitslücken mit hohem Risikograd
In diesem Zusammenhang zieht das CERT-Bund einen Vergleich zu anderen E-Mail-Plattformen. Zwar werde regelmäßig auf veraltete und verwundbare Exchange-Server hingewiesen, bei alternativen Lösungen sehe die Lage zwar etwas besser aus, jedoch „auch nicht rosig“. Der Betrieb nicht mehr unterstützter Zimbra-Versionen stelle weiterhin ein relevantes Sicherheitsproblem dar.
Besonders im Fokus steht aktuell eine hochriskante File-Inclusion-Schwachstelle, die es Angreifern erlaubt, ohne vorherige Authentifizierung manipulierte Anfragen an einen REST-API-Endpunkt zu senden. Dadurch kann das Einbinden und Auslesen beliebiger Dateien aus dem Webroot-Verzeichnis des Servers ermöglicht werden. Die Schwachstelle erreicht einen hohen Risikoscore von 8,8 Punkten und betrifft Zimbra Collaboration in den Versionen 10.0 und 10.1.
Zusätzlich wurde eine Stored-Cross-Site-Scripting-Schwachstelle in der Classic-Weboberfläche identifiziert, die über speziell präparierte HTML-E-Mails ausgenutzt werden kann. Auch diese Sicherheitslücke betrifft ältere Zimbra-Versionen und erhöht das Risiko von Kontoübernahmen oder weiterführenden Angriffen.
Patch-Stand bleibt uneinheitlich
Zwar stehen seit November aktualisierte und abgesicherte Versionen zur Verfügung, dennoch zeigt die Verteilung der eingesetzten Releases, dass viele Betreiber ihre Systeme bislang nicht aktualisiert haben. Während rund 60 Prozent der erfassten Zimbra-Server inzwischen auf vergleichsweise aktuellen Versionen basieren, laufen andere weiterhin mit deutlich veralteten Releases, darunter auch Versionen aus der 8.x-Reihe oder frühe 10.x-Varianten.
Die anhaltend hohe Zahl verwundbarer Zimbra-Server verdeutlicht ein bekanntes Muster: Öffentlich erreichbare E-Mail- und Groupware-Systeme bleiben häufig länger ungepatcht, obwohl sie besonders attraktive Ziele für automatisierte Angriffe darstellen. Da diese Systeme zentrale Kommunikations- und Organisationsfunktionen übernehmen, kann eine erfolgreiche Kompromittierung weitreichende Folgen haben – vom Zugriff auf E-Mails und Kalenderdaten bis hin zur Vorbereitung weiterführender Angriffe innerhalb interner Netze.
- Zimbra-Server sollten zeitnah auf eine vom Hersteller abgesicherte Version aktualisiert werden. Systeme, die keinen Support mehr erhalten, sollten nicht weiter produktiv betrieben werden.
- Öffentlich erreichbare Zimbra-Instanzen sollten kritisch überprüft und der Zugriff auf Web- und Verwaltungsoberflächen soweit möglich eingeschränkt werden.
- Der eingesetzte Softwarestand sollte regelmäßig überprüft werden, um bekannte Sicherheitslücken frühzeitig zu schließen und die Angriffsfläche dauerhaft zu reduzieren.