SchwachstellenHackerangriffeCyberkriminalität

Über 10.000 Zimbra-Server unter Beschuss: Kritische XSS-Lücke wird aktiv ausgenutzt

Über 10.000 Zimbra-Server unter Beschuss: Kritische XSS-Lücke wird aktiv ausgenutzt
Zusammenfassung

Mehr als 10.000 Zimbra-Server weltweit sind derzeit Ziel von Cyberangriffen, die eine kritische Cross-Site-Scripting-Sicherheitslücke ausnutzen. Die Vulnerability CVE-2025-48700 betrifft die beliebte E-Mail- und Kollaborationssoftware Zimbra Collaboration Suite in den Versionen 8.8.15, 9.0, 10.0 und 10.1. Unauthentifizierte Angreifer können durch diese Lücke sensible Informationen abgreifen, indem sie bösartigen JavaScript-Code in Nutzer-Sessions einschleusen. Besonders bemerkenswert ist, dass die Attacke keine Benutzerinteraktion erfordert und bereits beim Öffnen einer manipulierten E-Mail in der Zimbra Classic UI ausgelöst wird. Die US-amerikanische Cybersicherheitsbehörde CISA bestätigte Anfang April, dass die Lücke aktiv in Angriffen ausgebeutet wird und forderte US-Bundesbehörden zur sofortigen Behebung auf. Nach Daten der Sicherheitsorganisation Shadowserver bleiben über 10.500 Zimbra-Server ungepflastert, davon allein 3.793 in Europa. Für Deutschland ist dies besonders relevant, da Zimbra auch von Behörden, Unternehmen und kritischen Infrastrukturen genutzt wird. Angesichts der Tatsache, dass staatliche Hacker wie APT28 vergleichbare Zambra-Schwachstellen bereits erfolgreich gegen ukrainische Regierungsstellen einsetzten, sollten deutsche Organisationen sofort prüfen, ob sie betroffen sind.

Die Sicherheitsorganisation Shadowserver hat alarmierende Zahlen veröffentlicht: Über 10.500 Zimbra-Mailserver sind weltweit online erreichbar und noch immer nicht gepatcht. Die geografische Verteilung zeigt, dass die meisten anfälligen Server in Asien (3.794) und Europa (3.793) stehen. Deutschland und europäische Länder sind damit besonders betroffen.

Zimbra ist eine der weltweit meistgenutzten E-Mail- und Collaborationsplattformen mit hunderten von Millionen Nutzern. Hunderte von Regierungsbehörden und tausende Unternehmen verlassen sich auf die Software — eine Tatsache, die Cyberkriminelle und staatliche Akteure gleichermaßen interessant finden.

Die Schwachstelle CVE-2025-48700 ist besonders tückisch, weil sie keine Benutzerinteraktion erfordert. Ein einfaches Öffnen einer manipulierten E-Mail im Zimbra Classic UI genügt, um die Attacke auszulösen. Der Hersteller Synacor veröffentlichte Sicherheitspatches im Juni 2025, doch viele Administratoren haben diese offensichtlich noch nicht eingespielt.

Die CISA-Warnung vom 20. April zeigt, dass bereits aktive Ausnutzungen dokumentiert wurden. Das US-Militär und andere Bundesbehörden erhielten eine Dreitage-Frist zur Behebung — eine ungewöhnlich aggressive Maßnahme, die das Risikopotenzial unterstreicht.

Historisch betrachtet, sind Zimbra-Schwachstellen ein bevorzugtes Angriffsziel von Hackern. Die russische Hackergruppe APT28 (auch als Fancy Bear bekannt) nutzte eine ähnliche XSS-Lücke (CVE-2025-66376) für Phishing-Kampagnen gegen ukrainische Regierungsinstitutionen, einschließlich kritischer Infrastruktur wie der Ukrainischen Staatlichen Hydrologie-Agentur. Diese Attacken waren so geschickt gestaltet, dass der gesamte Schadcode in HTML-Emails eingebettet war — ohne verdächtige Anhänge oder Links.

Auch die russische Hackergruppe APT29, verbunden mit Russlands Auslandsnachrichtendienst, unternahm 2024 Massenangriffsversuche auf Zimbra-Server. Und im Februar 2023 stahl die Cyberspionage-Gruppe Winter Vivern E-Mails von NATO-Institutionen durch Zimbra-Exploits.

Für deutsche Organisationen bedeutet dies: Sofortige Patching-Maßnahmen sind nicht optional, sondern essentiell. Unternehmen und Behörden sollten ihre Zimbra-Installationen umgehend auf Schwachstellen überprüfen und Security-Updates einspielen. Die aktive Ausbeutung in freier Wildbahn macht jede Verzögerung zu einem erheblichen Sicherheitsrisiko.

Ähnliche Artikel