Zimbra işbirliğinde şimdi yamalı bir güvenlik açığı, bu yılın başlarında Brezilya ordusunu hedefleyen siber saldırılarda sıfır gün olarak kullanıldı.
Olarak izlendi CVE-2025-27915 (CVSS Puanı: 5.4), güvenlik açığı, klasik web istemcisinde, ICS takvim dosyalarındaki HTML içeriğinin yetersiz dezenfekte edilmesi sonucunda ortaya çıkan depolanmış bir siteler arası komut dosyası (XSS) güvenlik açığıdır.
“Bir kullanıcı kötü amaçlı bir ICS girişi içeren bir e-posta mesajını görüntülediğinde, gömülü JavaScript bir Ontoggle olayı aracılığıyla yürütülür.
“Bu, bir saldırganın kurbanın oturumunda keyfi JavaScript çalıştırmasına izin vererek, potansiyel olarak e-posta filtrelerini mesajları saldırgan kontrollü bir adrese yönlendirmek için yetkisiz eylemlere yol açar. Sonuç olarak, bir saldırgan mağdurun hesabında e-posta yönlendirmesi ve veri eksfiltrasyonu dahil olmak üzere yetkisiz eylemler gerçekleştirebilir.”
Güvenlik açığı, 27 Ocak 2025’te piyasaya sürülen 9.0.0 Patch 44, 10.0.13 ve 10.1.5 sürümlerinin bir parçası olarak Zimbra tarafından ele alındı.
Bununla birlikte, Futeready Labs tarafından 30 Eylül 2025’te yayınlanan bir rapora göre, gözlemlenen vahşice faaliyet, Bilinmeyen Tehdit Oyuncuları, Brezilya ordusunu, kusurdan yararlanan kötü niyetli ICS dosyalarını kullanarak hedeflemek için Protokol Ofisi’ni taklit etti.
ICS dosyası, harici bir sunucuya (“FFRK” kimlik bilgilerine, e -postalara, kişilere ve paylaşılan klasörlere kapsamlı bir veri çalma görevi görecek şekilde tasarlanmış bir JavaScript kodu içeriyordu.[.]Net “). Ayrıca belirli bir klasördeki e -postaları arar ve mesajları [email protected]’ye iletmek için” Correo “adıyla kötü niyetli Zimbra e -posta filtresi kuralları ekler.
Tespitten kaçınmanın bir yolu olarak, komut dosyası, belirli kullanıcı arayüzü öğelerini gizleyecek şekilde şekillendirilir ve en son yürütüldüğünden bu yana üç günden fazla geçtiyse patlar.
Şu anda saldırının arkasında kimin olduğu net değil, ancak bu yılın başlarında ESET, APT28 olarak bilinen Rus tehdit aktörünün, Yatırılmaz Erişim elde etmek için Roundcube, Horde, MDAemon ve Zimbra’dan çeşitli webmail çözümlerinde XSS güvenlik açıklarından yararlandığını açıkladı.
Benzer bir modus operandi, kimlik doğrulama hırsızlığını kolaylaştırmak için Winter Vivern ve UNC1151 (diğer adıyla Ghostwriter) gibi diğer hack grupları tarafından da benimsenmiştir.