En ny Zimbra zero-day exploit er blevet brugt i målrettede angreb verden over. Hackere har distribueret ondsindede iCalendar-filer for at injicere JavaScript, stjæle loginoplysninger og få adgang til ofrenes e-mails. Fejlen gjorde det muligt at køre fjernkode i aktive webmail-sessioner, hvilket gav angriberne fuld kontrol over kompromitterede konti.
Hvordan Zimbra Zero-Day-exploiten fungerede
Forskere identificerede sårbarheden som CVE-2025-27915, en cross-site scripting-fejl i Zimbra Collaboration Suite. Fejlen påvirkede versionerne 9.0, 10.0 og 10.1.
Hackere indlejrede ondsindet JavaScript i .ICS-kalenderfiler. Når brugere importerede eller viste disse filer, udførte Zimbra scriptet uden validering. Dette gav angriberne adgang til sessionstokens, e-mails og brugeroplysninger.
Det injicerede JavaScript kørte direkte i offerets indbakke. Det kunne ændre mailfiltre, videresende beskeder eller stille kopiere data til servere kontrolleret af angriberne. I nogle tilfælde overvågede scriptet brugeraktivitet og eksfiltrerede data i realtid.
Angrebskampagnen og opdagelsen
Kampagnen begyndte i starten af januar 2025 og var primært rettet mod statslige og militære organisationer. Et bekræftet angreb udgav sig for at være den libyske flådes protokolkontor og ramte et brasiliansk militærnetværk.
Cybersikkerhedsfirmaet StrikeReady opdagede zero-day-sårbarheden, mens de analyserede store .ICS-vedhæftninger med obfuskeret JavaScript. De rapporterede, at disse kalenderfiler oversteg 10 KB og indeholdt kodede payloads skjult i begivenhedsbeskrivelser.
Exploiten blev brugt, før Zimbra kunne udgive en rettelse, hvilket gjorde den til en ægte zero-day. Virksomheden udbedrede fejlen den 27. januar og udgav versionerne ZCS 9.0.0 P44, 10.0.13 og 10.1.5.
Indvirkning og attribuering
Zimbra zero-day exploiten gjorde det muligt for angriberne at stjæle:
- Brugernavne og adgangskoder
- Hele e-mail-indhold
- Kontaktlister og distributionsgrupper
- Konfigurationsdata og godkendelsescookies
Forskere bemærkede ligheder med kampagner, der er blevet knyttet til hviderussiske og russiske trusselsaktører, selvom attribueringen forbliver ubekræftet. Brugen af social engineering og statslige lokkemidler tyder på en statsstøttet operation.
Sådan beskytter du Zimbra-brugere
- Installer patches med det samme. Opdater til ZCS 9.0.0 P44, 10.0.13 eller 10.1.5.
- Bloker mistænkelige
.ICS-filer. Marker kalenderfiler, der er større end 10 KB, eller som indeholder HTML eller JavaScript. - Overvåg mailfiltre. Kontroller, om nye regler eller videresendelser er oprettet uden tilladelse.
- Gennemgå API-logs. Begræns SOAP API-adgang til verificerede systemer.
- Uddan brugere. Advar medarbejdere om uopfordrede kalenderinvitationer eller mødeanmodninger.
Konklusion
Zimbra zero-day exploiten viser, at selv tilsyneladende harmløse filformater kan skjule avancerede angreb. Ved at indlejre JavaScript i iCalendar-filer formåede hackere at omgå traditionelle forsvar og stjæle følsomme data direkte fra indbakker.
Patching, overvågning og brugerbevidsthed er afgørende for at forhindre fremtidige udnyttelser.
0 svar til “Zimbra zero-day exploit bruger iCalendar-filer til at stjæle e-mails og legitimationsoplysninger”