SchwachstellenHackerangriffeDatenschutz

Kritische Zimbra-Lücke: US-Behörden müssen XSS-Sicherheitsleck schließen

Kritische Zimbra-Lücke: US-Behörden müssen XSS-Sicherheitsleck schließen
Zusammenfassung

Die US-amerikanische Cybersicherheitsbehörde CISA hat amerikanische Regierungsbehörden aufgefordert, ihre Server sofort gegen eine aktiv ausgenutzte Sicherheitslücke in der Zimbra Collaboration Suite (ZCS) abzusichern. Die als CVE-2025-66376 katalogisierte Schwachstelle ist eine kritische Cross-Site-Scripting-Anfälligkeit (XSS) in der Classic-Benutzeroberfläche, die bereits im frühen November gepatcht wurde. Angreifer können diese Lücke ausnutzen, um über manipulierte HTML-basierte E-Mails willkürlichen JavaScript-Code einzuschleusen und potenziell Benutzersitzungen zu kapern sowie sensitive Daten zu stehlen. Zimbra ist eine weltweit verbreitete Lösung mit Hunderten von Millionen Nutzern, darunter tausende Unternehmen und hunderte Regierungsbehörden. CISA hat die Behörden per Binding Operational Directive verpflichtet, die Systeme bis zum 1. April zu sichern, empfiehlt aber auch privaten Organisationen dringend, den Patch zeitnah einzuspielen. Diese Anfälligkeit reiht sich in eine lange Serie von Zimbra-Exploits ein, die in den letzten Jahren zu Breaches tausender Server weltweit führten. Auch für deutsche Behörden und Unternehmen mit Zimbra-Installationen stellt diese aktiv ausgenutzte Lücke ein erhebliches Sicherheitsrisiko dar.

Die Sicherheitslücke CVE-2025-66376 wurde bereits im frühen November gepatcht, wird aber seitdem in der Praxis aktiv von Cyberkriminellen ausgenutzt. Sie basiert auf einer Stored-XSS-Schwachstelle, die es unauthentifizierten Angreifern ermöglicht, über CSS-@import-Direktiven in E-Mail-HTML bösartige Inhalte einzuschleusen. Die Folgen: Angreifer könnten JavaScript-Code im Browser der Opfer ausführen, um Authentifizierungsdaten zu stehlen oder Nachrichten-Filter zu manipulieren, die E-Mails an kontrollierte Server umleiten.

Zimbra ist nicht irgendeine Nischenlösung. Hunderte von Millionen Menschen nutzen das System, darunter tausende Unternehmen und hunderte Regierungsbehörden. Diese massive Verbreitung macht es zum bevorzugten Ziel von Angreifern. CISA hat die Lücke in seinen Katalog aktiv ausgebeuteter Schwachstellen aufgenommen und fordert Bundessicherheitsapparate nun zur sofortigen Handlung auf. Gemäß der Binding Operational Directive 22-01 haben US-Regierungsbehörden zwei Wochen Zeit, ihre Systeme zu sichern.

Historisch zeigt sich ein beunruhigendes Muster: Zimbra-Sicherheitslücken werden regelmäßig großflächig ausgenutzt. Im Juni 2022 exploitierten Hacker Authentifizierungs-Bypass- und Remote-Code-Execution-Fehler in über 1.000 Systemen. Ab September 2022 folgten Massenangriffe auf knapp 900 Mailserver. Sogar die russische staatliche Hackergruppe Winter Vivern nutzte Zimbra-Schwachstellen gezielt gegen NATO-Staaten, um auf Mailkonten von Regierungsbeamten, Militärangehörigen und Diplomaten zuzugreifen.

Eine weitere XSS-Lücke (CVE-2025-27915) wurde erst kürzlich in Zero-Day-Attacken missbraucht, um E-Mail-Filter einzurichten und Nachrichten zu Angreifer-Servern umzuleiten.

Obwohl BOD 22-01 nur auf US-Behörden anwendbar ist, empfiehlt CISA dringend allen Organisationen – auch in der Privatwirtschaft – das Sicherheitsupdate unverzüglich einzuspielen. Die Agentur warnt: “Diese Schwachstellen sind häufige Angriffsvektoren und stellen erhebliche Risiken für Unternehmensumgebungen dar.” Deutsche Unternehmen und Behörden sollten diese Mahnung ernst nehmen und ihre Zimbra-Installationen sofort überprüfen und patchen.

Ähnliche Artikel