Zimbra Collaboration Suite (ZCS)

Die Schwachstelle betrifft die Zimbra Collaboration Suite (ZCS) von Synacor, eine Plattform für E-Mail und Zusammenarbeit. Der Defekt steckt in der Komponente ProxyServlet und ist eine sogenannte Server-Side Request Forgery (SSRF): Dabei bringt ein Angreifer den Server dazu, in seinem Namen Netzwerkanfragen zu verschicken. Statt nur die vorgesehenen Ziele anzusprechen, lässt sich der Server so missbrauchen, dass er Anfragen an vom Angreifer gewählte Adressen richtet – auch an interne Systeme, die von außen eigentlich nicht erreichbar sind. Auf diese Weise kann ein Angreifer die Schutzwirkung der Netzwerkgrenze umgehen, interne Dienste ansprechen und unter Umständen an Informationen gelangen, die nicht nach außen gelangen sollten. Da der Proxy-Dienst Bestandteil der regulären Server-Funktion ist, lässt sich der Fehler über die normale Schnittstelle der Anwendung ansteuern. Betroffen sind Organisationen, die Zimbra für ihre Kommunikation einsetzen.