Cyberalert DTC vanwege Zimbra-kwetsbaarheden
Het Digital Trust Center (DTC) heeft een cyberalert doen uitgaan. Het betreft cyber-aanvallen die worden uitgevoerd op Zimbra Collaboration-omgevingen. Het DTC, dat namens het ministerie van EZK vooral mkb-ondernemingen ondersteunt op cybersecurity-gebied, notificeert momenteel bedrijven met mogelijk nog kwetsbare Zimbra-systemen op basis van nieuwe lijsten met IP-adressen. Sommige kwetsbaarheden worden al actief misbruikt.
De afgelopen maanden hebben diverse cyberonderzoekers gewaarschuwd voor aanvallen die worden uitgevoerd op Zimbra Collaboration-omgevingen. Het gaat volgens DTC om misbruik van (oude) kwetsbaarheden waardoor aanvallers gevoelige informatie kunnen stelen of systemen volledig kunnen overnemen. Ook vinden aanhoudende phishing-campagnes plaats waarmee aanvallers inloggegevens voor Zimbra Collaboration e-mailservers proberen te bemachtigen.
Grote schade door misbruik
Het DTC waarschuwde in 2022 onder andere voor een kritieke kwetsbaarheid (CVE-2022-27924) die op grote schaal wordt misbruikt. Vanwege het gemak waarmee de kwetsbaarheid te misbruiken was, verhoogde het Nationaal Cyber Security Centrum (NCSC) destijds de inschaling van het beveiligingsadvies naar een High/High kwetsbaarheid. Dit betekent dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn.
Onlangs heeft het DTC opnieuw lijsten met IP-adressen ontvangen met Zimbra Systemen in Nederland die mogelijk nog kwetsbaar zijn. De instantie notificeert de bedrijven die te herleiden zijn op basis van deze lijst. Enkele Zimbra-kwetsbaarheden worden al actief misbruikt en krijgen een CVSS-score van 9,8: het gaat hier om zeer kritieke kwetsbaarheden.
Aanpak kwetsbaarheden
Het up-to-date houden van software is van groot belang om misbruik van bestaande kwetsbaarheden te voorkomen, benadrukt het DTC. Wanneer software direct benaderbaar is vanaf het internet - zoals vaak het geval is bij Zimbra installaties - dan neemt de kans op misbruik toe. Het DTC adviseert daarom Zimbra-installaties zo snel mogelijk te voorzien van de laatst beschikbare updates.
Daarnaast is het goed gebruik om systemen zodanig te configureren en beveiligen dat het risico op misbruik zo klein mogelijk is. Bijvoorbeeld door een management interface niet via het internet te ontsluiten.
Bij Zimbra wordt nog wel eens de zogeheten 'Memcache service' direct benaderbaar gemaakt voor het internet. Meestal gaat het hier om een configuratiefout en is het advies dit dicht te zetten door verkeer naar de Memcache service (port 11211) te blokkeren. Heeft de Memcache-service direct benaderbaar gestaan vanaf het internet, dan is het advies om de Zimbra omgeving te (laten) controleren op mogelijk misbruik. Lees meer over Memcache misbruik.
Dutch IT events
Alle events
Meer over Overheid
Over Martijn Kregting
