En patchnotis som läses som en nedräkning
Zimbras meddelande var kort och konkret. Den som kör Classic Web Client i Zimbra Collaboration bör byta till version 10.1.19, och det snart. Företaget kallade bristen kritisk, det starkaste ord det använder, och överlät största delen av motiveringen åt läsaren.
För en administratör som öppnar den notisen en måndagmorgon är innebörden tydlig. En e-postplattform som står i centrum av en organisation har ett hål i just den del som visar meddelanden, och klockan för att rätta det går redan.
Vad bristen faktiskt gör
Felet är en stored cross-site scripting-brist. En angripare skickar ett särskilt preparerat mejl, och när mottagaren öppnar det i Classic Web Client körs den kod som angriparen styr inuti webbläsarsessionen i stället för att förbli livlös text. Därifrån kan den läsa sessionsdata, kontoinställningar och brevlådans innehåll.
Ingen klick på en länk krävs utöver att öppna meddelandet, och det finns ingen skadlig kod att installera. Offret läser helt enkelt sin e-post. Zimbra rättade problemet i 10.1.19, och någon CVE-beteckning har ännu inte tilldelats, vilket är vanligt de första dagarna efter en leverantörsrättning.
Varför Googles fingeravtryck ställer om klockan
Detaljen som borde ändra brådskan är vem som rapporterade bristen. Det var Googles Threat Analysis Group, enheten som följer statsstödda intrång och angrepp mot högriskanvändare. TAG lyfter sällan fram rutinfel, så deras inblandning signalerar en brist med troligt spionagevärde.
Zimbra har en lång historik här. Statskopplade grupper som APT28, APT29 och Winter Vivern har gjort tidigare Zimbra-brister till vapen mot brevlådor hos regering, militär och diplomati, och mot ukrainska mål, ofta inom några veckor efter offentliggörandet. Denna brist är ännu inte märkt som aktivt utnyttjad, men den historien förklarar varför avståndet mellan rättning och angrepp tenderar att vara kort.
Classic-klienten är hela exponeringen
Endast Classic Web Client, även kallad Classic UI, är drabbad. Det nyare gränssnittet är inte målet. Det låter som en avgränsning av risken, och i en mening är det också det, men det döljer en fälla: många organisationer lät Classic-klienten vara påslagen så att långvariga användare kunde behålla den layout de var vana vid.
Den kvarlämnade väljaren är nu angreppsytan. Före rättningen är den ärliga frågan för en operatör inte om Zimbra är utrullat, utan vem inom organisationen som fortfarande hamnar på Classic-gränssnittet, för det är de kontona som ett preparerat mejl skulle nå först.
Vad man ska göra innan exploit-koden landar
Den direkta lösningen är att uppgradera till ZCS 10.1.19. Där en omedelbar uppgradering inte är möjlig tar ett avstängande av Classic Web Client bort den exponerade ytan tills uppdateringen kan schemaläggas, och att behandla obeställd post till webbmejlanvändare som en högre risk ger lite marginal.
Europeiska offentliga organ och teleoperatörer utgör en stor del av Zimbras installerade bas, och de är också den profil som statliga aktörer redan gått efter. För dem är prioritetsordningen enkel: rätta nu, bekräfta att Classic-klienten är borta, och kontrollera sedan loggarna efter allt som kom in innan rättningen gjorde det.
Läs vidare: Progress ber ShareFile-användare att dra ur sladden | En Defender-brist ger en användare full kontroll



