A agência americana CISA (Cybersecurity and Infrastructure Security Agency) emitiu uma ordem para que órgãos do governo dos EUA reforcem a segurança de seus servidores contra uma vulnerabilidade atualmente explorada no Zimbra Collaboration Suite (ZCS).
O Zimbra é uma plataforma de email e colaboração amplamente utilizada, com centenas de milhões de usuários no mundo todo, incluindo milhares de empresas e centenas de órgãos governamentais.
Identificada como
CVE-2025-66376
e corrigida no início de novembro, essa falha de alta gravidade está relacionada a uma vulnerabilidade de cross-site scripting (XSS) armazenado na interface Classic UI.
Ataques remotos e não autenticados podem explorar essa brecha ao abusar da diretiva @import de Cascading Style Sheets (CSS) em emails HTML.
Embora a Synacor, empresa responsável pelo desenvolvimento do Zimbra, não tenha divulgado detalhes sobre o impacto de um ataque bem-sucedido explorando a
CVE-2025-66376
, acredita-se que o exploit permita a execução arbitrária de código JavaScript por meio de emails maliciosos em HTML.
Isso pode resultar no sequestro de sessões de usuários e no roubo de informações sensíveis da infraestrutura comprometida.
Na última quarta-feira, a CISA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas no ambiente real e estabeleceu o prazo de duas semanas para que as agências federais do Executivo Civil (FCEB) protejam seus servidores, até 1º de abril.
A medida segue as diretrizes do Binding Operational Directive (BOD) 22-01, publicado em novembro de 2021.
Embora o BOD 22-01 seja obrigatório apenas para agências federais, a CISA recomendou que todas as organizações, inclusive do setor privado, apliquem o patch o quanto antes para mitigar os riscos dessa falha ativa.
“Adote as mitigações conforme as instruções do fornecedor, siga as orientações do BOD 22-01 para serviços em nuvem ou encerre o uso do produto caso as medidas não estejam disponíveis”, alertou a agência.
“Esse tipo de vulnerabilidade é um vetor frequente para ataques cibernéticos maliciosos, representando riscos significativos para o ambiente federal.”
Falhas de segurança no Zimbra são alvos recorrentes de ataques e têm sido exploradas para comprometer milhares de servidores de email vulneráveis em todo o mundo nos últimos anos.
Por exemplo, desde junho de 2022, bugs de bypass de autenticação e execução remota de código no Zimbra foram usados para invadir mais de 1.000 servidores.
A partir de setembro de 2022, hackers exploraram uma vulnerabilidade zero-day no ZCS, conseguindo execução remota de código e invadindo quase 900 servidores em dois meses.
O grupo de hackers russo Winter Vivern, apoiado pelo Estado, também utilizou exploits de XSS refletido para invadir portais webmail do Zimbra usados por governos alinhados à OTAN, além das caixas de email de funcionários governamentais, militares e diplomatas.
Mais recentemente, atores maliciosos exploraram outra vulnerabilidade XSS no Zimbra (
CVE-2025-27915
) em ataques zero-day, executando código JavaScript arbitrário que permitiu a criação de filtros de email que redirecionavam mensagens para servidores controlados pelos invasores.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...