Een nu gepatchte beveiligingskwetsbaarheid in Zimbra-samenwerking werd eerder dit jaar geƫxploiteerd als een zero-day in cyberaanvallen gericht op het Braziliaanse leger.
Gevolgd als CVE-2025-27915 (CVSS-score: 5.4), de kwetsbaarheid is een opgeslagen cross-site scripting (XSS) kwetsbaarheid in de klassieke webclient die zich voordoet als gevolg van onvoldoende sanering van HTML-inhoud in ICS-kalenderbestanden, wat resulteert in willekeurige code-uitvoering.
“Wanneer een gebruiker een e-mailbericht bekijkt met een kwaadwillende ICS-invoer, wordt het ingebedde JavaScript uitgevoerd via een Ontoggle-gebeurtenis in een
“Hierdoor kan een aanvaller een willekeurig JavaScript uitvoeren binnen de sessie van het slachtoffer, wat mogelijk leidt tot ongeautoriseerde acties, zoals het instellen van e-mailfilters om berichten om te leiden naar een door aanvallers gecontroleerd adres. Als gevolg hiervan kan een aanvaller ongeoorloofde acties uitvoeren op de account van het slachtoffer, inclusief e-mailvorderingen en gegevensuitbreiding.”
De kwetsbaarheid werd door Zimbra aangepakt als onderdeel van versies 9.0.0 Patch 44, 10.0.13 en 10.1.5 vrijgegeven op 27 januari 2025. Het advies maakt echter geen melding dat het is uitgebuit in echte aanvallen.
Volgens een rapport gepubliceerd door Strikeready Labs op 30 september 2025, betrof de waargenomen activiteiten in het wild onbekende dreigingsactoren die het Libische Navy’s Office of Protocol-kantoor van het Braziliaanse leger die het Braziliaanse leger richtten met behulp van kwaadaardige ICS-bestanden die de fouten exploiteerden.
Het ICS -bestand bevatte een JavaScript -code die is ontworpen om op te treden als een uitgebreide gegevensstealer om referenties, e -mails, contacten en gedeelde mappen naar een externe server (“FFRK (.) Net”) te hevelen. Het zoekt ook naar e -mails in een specifieke map en voegt kwaadaardige Zimbra -e -mailfilterregels toe met de naam “Correo” om de berichten door te sturen naar [email protected].
Als een manier om detectie te voorkomen, wordt het script zodanig gevormd dat het bepaalde gebruikersinterface -elementen verbergt en alleen ontploffen als er meer dan drie dagen zijn verstreken sinds de laatste keer dat het werd uitgevoerd.
Het is momenteel niet duidelijk wie achter de aanval zit, maar eerder dit jaar onthulde Eset dat de Russische dreigingsacteur die bekend staat als APT28 XSS -kwetsbaarheden in verschillende webmail -oplossingen van RoundCube, Horde, Mdaemon en Zimbra had gebruikt om ongeoorloofde toegang te verkrijgen.
Een vergelijkbare modus operandi is ook overgenomen door andere hackgroepen zoals Winter Vivern en UNC1151 (aka Ghostwriter) om diefstal van de referentie te vergemakkelijken.
