Mais de 10.000 instâncias do Zimbra Collaboration Suite (ZCS) expostas na internet estão vulneráveis a ataques em andamento que exploram uma falha de segurança do tipo cross-site scripting (XSS), segundo a organização sem fins lucrativos Shadowserver.
O Zimbra é uma suíte popular de e-mail e colaboração usada por centenas de milhões de pessoas em todo o mundo, incluindo centenas de órgãos governamentais e milhares de empresas.
A vulnerabilidade, identificada como
CVE-2025-48700
, afeta as versões ZCS 8.8.15, 9.0, 10.0 e 10.1 e pode permitir que atacantes sem autenticação acessem informações sensíveis após executar JavaScript arbitrário dentro da sessão do usuário.
A Synacor divulgou patches de segurança para corrigir a falha em junho de 2025, quando alertou que os ataques contra a
CVE-2025-48700
não exigem interação do usuário e podem ser disparados quando a vítima visualiza uma mensagem de e-mail maliciosamente criada na interface Zimbra Classic UI.
Na segunda-feira, a CISA classificou a
CVE-2025-48700
como uma falha explorada na prática e a adicionou ao catálogo Known Exploited Vulnerabilities (KEV), com base em evidências de exploração ativa.
A agência de cibersegurança dos Estados Unidos também determinou que os órgãos federais da Federal Civilian Executive Branch (FCEB) protejam seus servidores Zimbra em até três dias, com prazo até 23 de abril.
Na sexta-feira, a entidade de monitoramento de segurança Shadowserver também alertou que mais de 10.500 servidores Zimbra expostos online seguem sem patch, a maioria na Ásia, com 3.794, e na Europa, com 3.793.
Embora a CISA não tenha divulgado detalhes sobre os ataques ligados à
CVE-2025-48700
, outra vulnerabilidade XSS, identificada como
CVE-2025-66376
e corrigida no início de novembro, foi explorada pelo grupo APT28, apoiado pelo Estado e também conhecido como Fancy Bear e Strontium, em ataques de phishing contra entidades do governo ucraniano a partir de janeiro.
Essa campanha de phishing, batizada de Operation GhostMail pelos pesquisadores da Seqrite Labs, também mirou a Agência Estatal de Hidrologia da Ucrânia, uma entidade de infraestrutura crítica sob o Ministério da Infraestrutura que fornece apoio de navegação, marítimo e hidrográfico, e entregou um payload JavaScript ofuscado quando os destinatários abriram os e-mails maliciosos em sessões vulneráveis do webmail Zimbra.
“O e-mail de phishing não tem anexos maliciosos, não tem links suspeitos, não tem macros.
Toda a cadeia de ataque fica dentro do corpo HTML de um único e-mail; não há anexos maliciosos”, afirmou a Seqrite Labs na época.
Falhas no Zimbra são frequentemente exploradas em ataques e, nos últimos anos, já foram usadas para comprometer milhares de servidores de e-mail vulneráveis.
Em fevereiro de 2023, por exemplo, hackers russos do Winter Vivern usaram outro exploit de XSS refletido para invadir portais de webmail do Zimbra e roubar e-mails enviados e recebidos por organizações e indivíduos alinhados à Otan, incluindo militares, autoridades governamentais e diplomatas.
Mais recentemente, em outubro de 2024, agências de cibersegurança dos Estados Unidos e do Reino Unido alertaram que hackers do APT29, também conhecido como Cozy Bear e Midnight Blizzard, ligados ao Serviço de Inteligência Estrangeira da Rússia (SVR), estavam mirando servidores Zimbra vulneráveis em “larga escala”, explorando uma falha de segurança que já havia sido abusada para roubar credenciais de contas de e-mail.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...