Een patchmelding die leest als een aftelklok

De melding van Zimbra was kort en concreet. Wie de Classic Web Client in Zimbra Collaboration draait, zou naar versie 10.1.19 moeten overstappen, en snel. Het bedrijf noemde het lek kritiek, het zwaarste woord dat het gebruikt, en liet de redenering grotendeels aan de lezer over.

Voor een beheerder die die melding op een maandagochtend opent, is de betekenis helder. Een mailplatform dat in het hart van een organisatie staat, heeft een gat in juist het deel dat berichten weergeeft, en de klok voor herstel loopt al.

Wat het lek werkelijk doet

De fout is een stored cross-site scripting-lek. Een aanvaller stuurt een speciaal geprepareerde e-mail, en zodra de ontvanger die in de Classic Web Client opent, voert door de aanvaller bestuurde code zich uit binnen de browsersessie in plaats van als inerte tekst te blijven staan. Van daaruit kan die sessiegegevens, accountinstellingen en postbusinhoud lezen.

Er is geen klik op een link nodig, alleen het openen van het bericht, en er hoeft geen malware te worden geïnstalleerd. Het slachtoffer leest simpelweg zijn e-mail. Zimbra verhielp het probleem in 10.1.19, en er is nog geen CVE-nummer toegekend, wat gebruikelijk is in de eerste dagen na een patch van de leverancier.

Waarom de vingerafdruk van Google de klok herstart

Het detail dat de urgentie zou moeten veranderen, is wie het lek meldde. Dat was Google's Threat Analysis Group, de eenheid die statelijk gesteunde inbraken en aanvallen op risicovolle gebruikers volgt. TAG brengt doorgaans geen routinefouten aan het licht, dus haar betrokkenheid wijst op een lek met een aannemelijk spionagenut.

Zimbra heeft hier een lange staat van dienst. Aan staten gelieerde groepen zoals APT28, APT29 en Winter Vivern maakten eerdere Zimbra-lekken tot wapen tegen postbussen van overheid, leger en diplomatie, en tegen Oekraïense doelen, vaak binnen enkele weken na openbaarmaking. Dit lek staat nog niet als misbruikt te boek, maar die geschiedenis verklaart waarom het gat tussen patch en misbruik meestal kort is.

De Classic-client is de volledige blootstelling

Alleen de Classic Web Client, ook Classic UI genoemd, is getroffen. De nieuwere interface is niet het doelwit. Dat klinkt als een inperking van het risico, en in zekere zin is dat zo, maar het verbergt een valkuil: veel organisaties lieten de Classic-client aanstaan zodat langdurige gebruikers de indeling konden houden die ze kenden.

Die overgeërfde schakelaar is nu het aanvalsoppervlak. Voor het patchen is de eerlijke vraag voor een beheerder niet of Zimbra is uitgerold, maar wie binnen de organisatie nog op de Classic-interface belandt, want dat zijn de accounts die een geprepareerde e-mail als eerste zou bereiken.

Wat te doen voordat de exploitcode arriveert

De directe oplossing is bijwerken naar ZCS 10.1.19. Waar onmiddellijk bijwerken niet kan, verwijdert het uitschakelen van de Classic Web Client het blootgestelde oppervlak totdat de update kan worden ingepland, en het als risicovoller behandelen van ongevraagde post aan webmailgebruikers geeft wat marge.

Europese overheidsinstanties en telecomaanbieders vormen een groot deel van Zimbra's geïnstalleerde basis, en zij zijn ook het profiel waarop statelijke actoren eerder mikten. Voor hen is de volgorde eenvoudig: nu patchen, bevestigen dat de Classic-client weg is, en dan de logs nakijken op alles wat voor de correctie binnenkwam.