Admins, die die E-Mail- und Groupware-Lösung Zimbra einsetzen, sollten die Software aus Sicherheitsgründen auf den aktuellen Stand bringen. Andernfalls könnten Angreifer Log-in-Daten im Klartext mitschneiden. Wie Sicherheitsforscher von Sonar erläutern, könnten Angreifer die mit dem Bedrohungsgrad „hoch“ eingestufte Lücke (CVE-2022-27924) auf zwei verschiedene Wege ohne Authentifizierung ausnutzen. Das soll ohne Interaktion von Opfern funktionieren. Um sich in den E-Mail-Datenverkehr einzuklinken, müssen Angreifer Fehler im internen Routing von Zimbra ausnutzen. Für die erste Angriffsvariante müssen sie die E-Mail-Adresse eines Opfers kennen. Damit ausgestattet könnten Angreifer über eine spezielle HTTP-Anfrage IMAP-Routeneinträge manipulieren, sodass der Datenverkehr einschließlich der unverschlüsselten Anmeldedaten beim Angreifer landen. Ruft ein Opfer seine Mails ab, bekommt der Angreifer Zugriff. Das funktioniere aber nur, wenn ein Mailclient wie Thunderbird zum Einsatz kommt, der die Zugangsdaten speichert und im Zuge etwa eines Reconnects an die Zimbra-Instanz weitergibt. Dieses und das andere Angriffsszenario führen die Sicherheitsforscher in einem Beitrag aus. Die Sicherheitsforscher geben an, dass die Lücke die Zimbra-Versionsstränge 8.8.x und 9.x betrifft. Die Ausgaben 8.8.15 Patch Level 31.1. und 9.0.0. Patch Level 24.1 sollen gegen die geschilderten Attacken abgesichert sein.