Die russische APT-Gruppierung „Winter Vivern“, von verschiedenen Sicherheitsunternehmen auch als TA473 oder UAC-0114 bezeichnet, greift derzeit eine Sicherheitslücke in der Groupware- und E-Mail-Anwendung Zimbra in der Version 9.0.0 an.
Die Angreifer nutzen hierbei die seit 2022 bekannte Sicherheitslücke CVE-2022-27926 aus, durch welche unauthentifiziert JavaScript- oder HTML-Code auf dem Groupware-Portal ausgeführt werden kann. Über Links in Phishing-E-Mails an die Opfer sollen die so übermittelten Cross-Site-Scripts (XSS) ausgeführt werden. Diese Links sind insofern gefährlich, weil diese lokal gespeicherte Informationen wie Benutzername, Passwort und weitere Meta-Daten des angemeldeten Benutzers auf dem Groupware-System auslesen sollen.
Die aktuellen Ziele der Gruppierung sind hauptsächlich Behörden- und Regierungsstellen im Ausland. In Deutschland direkt sind dem Landesamt für Verfassungsschutz noch keine Betroffenheiten bekannt. Nach eigenen Recherchen sind allerdings deutschlandweit mutmaßlich über 5.000, davon alleine in Baden-Württemberg über 350 Installationen von der Sicherheitslücke betroffen und daher unmittelbar angreifbar.
Für die Schwachstelle wurde vom Hersteller bereits ein Update zur Verfügung gestellt, durch welches diese beseitigt wird. Das LfV empfiehlt schnellstmöglich auf die jeweils aktuellste Zimbra-Version zu aktualisieren.