Biztonsági kutatók hívták fel a figyelmet arra, hogy egy kritikus sebezhetőséget használtak ki a kiberbűnözők a Zimbra platformján. A CVE-2024-45519-es azonosítóval ellátott hiba lehetővé teszi az adott támadó számára, hogy hitelesítés nélkül parancsokat futtasson egy sebezhető szerveren. A Zimbra 9.0.0 Patch 41, 10.0.9, 10.1.1 és 8.8.15 Patch 46 frissített verziói javítják az imént említett biztonsági rést. A ProjectDiscovery kiberbiztonsági vállalat közzétett több technikai információt is a hibáról, valamint egy PoC (proof-of-concept) exploitot is. A ProjectDiscovery kifejtette, hogy nem történt meg megfelelően a felhasználói bemenetek szűrése. Ez a hiba lehetővé teszi a támadók számára, hogy SMTP üzeneteket készítsenek, amelyek segítségével parancsokat injektálhatnak a Zimbra postjournal szolgáltatásába. Bár ez a szolgáltatás alapértelmezetten tiltva van, a támadók távolról kihasználhatják a biztonsági rést azokon a szervereken, amelyeken ez engedélyezve van, amennyiben a támadás egy engedélyezett hálózati tartományból érkezik.
Az első támadási kísérletek szeptember 28-án jelentkeztek, egy nappal azután, hogy a ProjectDiscovery közzétette a sebezhetőségről szóló elemzését. A Gmail-t imitáló leveleket hamis címekre küldték ki a „CC” (másolat) mezőkben, annak érdekében, hogy a Zimbra szerverek ezeket parancsokként értelmezzék és hajtsák végre – figyelte meg a Proofpoint kiberbiztonsági cég. A vállalat azt is észlelte, hogy több Zimbra szerverre web shell-t is próbáltak telepíteni. A Proofpoint kiemelte, hogy a támadók ugyanazt a szervert használták mind az exploit e-mailek, mind a második szakaszú káros tartalmak megosztására, de nem tulajdonították az eseményt egyetlen ismert fenyegetés-szereplőnek sem.
