Uma vulnerabilidade de segurança, agora corrigida, no Zimbra Collaboration foi explorada como zero-day no início deste ano em ataques cibernéticos direcionados às Forças Armadas brasileiras.
Identificada como
CVE-2025-27915
, com pontuação CVSS de 5,4, trata-se de uma falha de stored cross-site scripting (XSS) no Classic Web Client.
A vulnerabilidade ocorre devido à sanitização insuficiente do conteúdo HTML em arquivos ICS de calendário, permitindo a execução arbitrária de código.
Segundo a descrição da falha no banco de dados do NIST National Vulnerability Database (NVD), "quando um usuário visualiza um e-mail contendo uma entrada ICS maliciosa, o JavaScript embutido é executado via evento ontoggle dentro de uma tag <details>".
Isso possibilita que um atacante rode código JavaScript arbitrário na sessão da vítima, podendo realizar ações não autorizadas, como configurar filtros de e-mail para redirecionar mensagens para um endereço controlado pelo invasor.
Dessa forma, o atacante consegue manipular a conta da vítima, redirecionando e-mails e expondo dados sigilosos.
A Zimbra corrigiu a vulnerabilidade nas versões 9.0.0 Patch 44, 10.0.13 e 10.1.5, lançadas em 27 de janeiro de 2025.
O aviso oficial, contudo, não mencionou que a falha foi explorada em ataques reais.
Contudo, um relatório divulgado pelo StrikeReady Labs em 30 de setembro de 2025 revelou que agentes maliciosos desconhecidos se passaram pelo Escritório de Protocolo da Marinha da Líbia para atacar o Exército brasileiro usando arquivos ICS maliciosos que exploravam essa vulnerabilidade.
O arquivo ICS continha um código JavaScript projetado como um data stealer, capaz de capturar credenciais, e-mails, contatos e pastas compartilhadas, enviando essas informações para um servidor externo ("ffrk[.]net").
Além disso, o script busca mensagens em uma pasta específica e adiciona regras maliciosas no filtro de e-mails do Zimbra, com o nome "Correo", redirecionando essas mensagens para spam_to_junk[@]proton[.]me.
Para evitar detecção, o script esconde certos elementos da interface do usuário e só é ativado se mais de três dias se passaram desde sua última execução.
Ainda não está claro quem está por trás desse ataque.
Porém, no início do ano, a ESET já havia divulgado que o grupo russo APT28 explorava vulnerabilidades XSS em webmails como Roundcube, Horde, MDaemon e Zimbra para obter acessos não autorizados.
Métodos semelhantes também foram adotados por grupos como Winter Vivern e UNC1151 (também conhecido como Ghostwriter) para facilitar o roubo de credenciais.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...