Forskere identifiserte sårbarheten som CVE-2025-27915, et cross-site scripting-sårbarhet i Zimbra Collaboration Suite. Feilen påvirket versjonene 9.0, 10.0 og 10.1.
Hackere la inn skadelig JavaScript i .ICS-kalenderfiler. Når brukere importerte eller viste disse filene, kjørte Zimbra skriptet uten validering. Dette ga angriperne tilgang til sesjonstoken, e-poster og brukerlegitimasjon.
Det injiserte JavaScriptet kjørte direkte i offerets innboks. Det kunne endre e-postfiltre, videresende meldinger eller stille kopiere data til servere kontrollert av angriperne. I noen tilfeller overvåket skriptet brukeraktivitet og eksfiltrerte data i sanntid.
Angrepskampanjen og oppdagelsen
Kampanjen startet tidlig i januar 2025 og var hovedsakelig rettet mot myndigheter og militære organisasjoner. Et bekreftet angrep imiterte den libyske marinens protokollkontor og rammet et brasiliansk militærnettverk.
Cybersikkerhetsfirmaet StrikeReady oppdaget zero-day-sårbarheten mens de analyserte store .ICS-vedlegg med obfuskert JavaScript. De rapporterte at disse kalenderfilene oversteg 10 KB og inneholdt kodede nyttelaster skjult i hendelsesbeskrivelser.
Exploiten ble brukt før Zimbra rakk å utgi en oppdatering, noe som gjorde den til en ekte zero-day. Selskapet rettet feilen 27. januar og lanserte versjonene ZCS 9.0.0 P44, 10.0.13 og 10.1.5.
Påvirkning og attribusjon
Zimbra zero-day-exploiten gjorde det mulig for angriperne å stjele:
- Brukernavn og passord
- Fullstendig e-postinnhold
- Kontaktlister og distribusjonsgrupper
- Konfigurasjonsdata og autentiseringskapsler
Forskere merket likheter med kampanjer knyttet til belarusiske og russiske trusselaktører, selv om attribusjonen fortsatt er ubekreftet. Bruken av sosial manipulering og statlige lokkemidler tyder på en statssponset operasjon.
Slik beskytter du Zimbra-brukere
- Installer oppdateringer umiddelbart. Oppdater til ZCS 9.0.0 P44, 10.0.13 eller 10.1.5.
- Blokker mistenkelige
.ICS-filer. Marker kalendervedlegg som er større enn 10 KB eller inneholder HTML eller JavaScript. - Overvåk e-postfiltre. Se etter nye regler eller videresendinger opprettet uten tillatelse.
- Gjennomgå API-logger. Begrens SOAP API-tilgang til verifiserte systemer.
- Opplær brukere. Advar ansatte mot uventede kalenderinvitasjoner eller møteforespørsler.
Konklusjon
Zimbra zero-day-exploiten viser at selv tilsynelatende ufarlige filformater kan skjule avanserte angrep. Ved å bygge inn JavaScript i iCalendar-filer klarte hackere å omgå tradisjonelle forsvar og stjele sensitiv informasjon direkte fra innbokser.
Oppdateringer, overvåking og brukerbevissthet er avgjørende for å forhindre fremtidige angrep.
0 responses to “Zimbra zero-day exploit bruker iCalendar-filer for å stjele e-post og påloggingsopplysninger”