Hackare har utnyttjat skadliga iCalendar-filer för att injicera JavaScript, stjäla inloggningsuppgifter och få tillgång till offrets e-post. Sårbarheten gjorde det möjligt att köra fjärrkod i aktiva webmail-sessioner, vilket gav angriparna full kontroll över komprometterade konton.
Hur Zimbra Zero-Day-exploiten fungerade
Forskare identifierade sårbarheten som CVE-2025-27915, ett cross-site scripting-fel i Zimbra Collaboration Suite. Buggen påverkade versionerna 9.0, 10.0 och 10.1.
Hackarna bäddade in skadlig JavaScript-kod i .ICS-kalenderfiler. När användare importerade eller visade dessa filer körde Zimbra skriptet utan validering. Detta gav angriparna tillgång till sessionstokens, e-post och användaruppgifter.
Det injicerade JavaScriptet kördes direkt i offrets inkorg. Det kunde ändra e-postfilter, vidarebefordra meddelanden eller tyst kopiera data till servrar som angriparna kontrollerade. I vissa fall övervakade skriptet användaraktivitet och exfiltrerade data i realtid.
Attackkampanjen och upptäckten
Kampanjen började i början av januari 2025 och riktade sig främst mot myndigheter och militära organisationer. En bekräftad attack imiterade den libyska flottans protokollavdelning och slog mot ett brasilianskt militärt nätverk.
Cybersäkerhetsföretaget StrikeReady upptäckte zero-day-sårbarheten när de analyserade stora .ICS-bilagor som innehöll fördold JavaScript-kod. De rapporterade att dessa kalenderfiler översteg 10 KB och innehöll kodade nyttolaster gömda i händelsebeskrivningar.
Exploiten användes innan Zimbra hann släppa en korrigering, vilket gjorde den till en genuin zero-day. Företaget patchade sårbarheten den 27 januari och släppte versionerna ZCS 9.0.0 P44, 10.0.13 och 10.1.5.
Påverkan och attribuering
Zimbra zero-day-exploiten gjorde det möjligt för angriparna att stjäla:
- Användarnamn och lösenord
- Fullständigt e-postinnehåll
- Kontaktlistor och distributionsgrupper
- Konfigurationsdata och autentiseringscookies
Forskare noterade likheter med kampanjer kopplade till belarusiska och ryska hotaktörer, även om attribueringen inte är bekräftad. Användningen av social ingenjörskonst och regeringsrelaterade beten tyder på en statligt sponsrad operation.
Så skyddar du Zimbra-användare
- Installera patchar omedelbart. Uppdatera till ZCS 9.0.0 P44, 10.0.13 eller 10.1.5.
- Blockera misstänkta
.ICS-filer. Flagga kalenderbilagor större än 10 KB eller som innehåller HTML eller JavaScript. - Övervaka e-postfilter. Kontrollera om nya regler eller vidarebefordringar skapats utan tillstånd.
- Granska API-loggar. Begränsa SOAP API-åtkomst till verifierade system.
- Utbilda användare. Varna personal för oväntade kalenderinbjudningar eller mötesförfrågningar.
Slutsats
Zimbra zero-day-exploiten visar att även till synes ofarliga filformat kan dölja avancerade attacker. Genom att bädda in JavaScript i iCalendar-filer kunde hackare kringgå traditionella skydd och stjäla känslig data direkt från inkorgar.
Patchning, övervakning och användarmedvetenhet är avgörande för att förhindra framtida intrång.
0 svar till ”Zimbra zero-day-exploit använder iCalendar-filer för att stjäla e-post och inloggningsuppgifter”