Cụ thể, lỗ hổng này có định danh CVE-2019-9621, tồn tại trong thành phần ProxyServlet của Zimbra ZCS. Đây là lỗ hổng thuộc nhóm Server-Side Request Forgery (SSRF), cho phép kẻ tấn công gửi các yêu cầu HTTP từ máy chủ mục tiêu đến các tài nguyên mà đáng lý chỉ được truy cập từ nội bộ. Với kỹ thuật này, máy chủ Zimbra bị lợi dụng làm trung gian để kết nối đến hệ thống backend hoặc các dịch vụ khác trong mạng mà tin tặc không thể truy cập trực tiếp từ bên ngoài.

Việc khai thác thành công CVE-2019-9621 có thể cho phép tin tặc quét cấu trúc mạng nội bộ, tương tác với các dịch vụ quản lý và đặc biệt là truy cập vào các endpoint metadata trong môi trường cloud, đây là nơi thường chứa thông tin xác thực, khóa truy cập và dữ liệu cấu hình hệ thống. Trong môi trường sử dụng cloud hoặc hệ thống nhiều tầng, nếu máy chủ bị kiểm soát và sử dụng làm trung gian gửi yêu cầu trái phép, toàn bộ lớp bảo vệ nội bộ có thể bị vô hiệu hóa.

CISA khuyến nghị các tổ chức cần khẩn trương kiểm tra hệ thống, cần áp dụng bản vá hoặc giải pháp giảm thiểu do nhà cung cấp công bố. Nếu không thể khắc phục ngay, hệ thống nên được cô lập để hạn chế khả năng bị lợi dụng làm bàn đạp cho các cuộc tấn công sâu hơn vào mạng nội bộ.

Với mức độ phổ biến của Zimbra trong các tổ chức chính phủ và doanh nghiệp, CVE-2019-9621 đang trở thành mục tiêu khai thác lý tưởng cho các nhóm tin tặc có tổ chức. SSRF tiếp tục là kỹ thuật được ưa chuộng để vượt qua các cơ chế kiểm soát mạng. Các tổ chức cần hành động kịp thời để tránh rơi vào thế bị động trước các chiến dịch xâm nhập ngày càng tinh vi.