Một lỗ hổng bảo mật đã được vá trong Zimbra Collaboration đã bị khai thác như một zero-day vào đầu năm nay trong các cuộc tấn công mạng nhằm vào quân đội Brazil.
Được theo dõi là CVE-2025-27915 (điểm CVSS: 5.4), lỗ hổng này là một lỗ hổng stored cross-site scripting (XSS) trong Classic Web Client phát sinh do việc không đủ khả năng làm sạch nội dung HTML trong các tệp lịch ICS, dẫn đến việc thực thi mã tùy ý.
Khi người dùng xem một thư điện tử chứa mục nhập ICS độc hại, JavaScript nhúng trong đó sẽ được thực thi thông qua một sự kiện ontoggle bên trong thẻ <details>. Theo mô tả về lỗ hổng này trong NIST National Vulnerability Database (NVD), điều này cho phép kẻ tấn công chạy JavaScript tùy ý trong phiên của nạn nhân, có khả năng dẫn đến các hành động trái phép như thiết lập bộ lọc e-mail để chuyển hướng tin nhắn đến một địa chỉ do kẻ tấn công kiểm soát. Kết quả là, kẻ tấn công có thể thực hiện các hành động trái phép trên tài khoản của nạn nhân, bao gồm chuyển hướng e-mail và exfiltration dữ liệu.
Lỗ hổng này đã được Zimbra khắc phục trong các phiên bản 9.0.0 Patch 44, 10.0.13 và 10.1.5 phát hành vào ngày 27 tháng 1 năm 2025. Tuy nhiên, bản vá lỗi không đề cập đến việc nó đã bị khai thác trong các cuộc tấn công thực tế.
Tuy nhiên, theo một báo cáo được công bố bởi StrikeReady Labs vào ngày 30 tháng 9 năm 2025, hoạt động trong thực tế được quan sát liên quan đến các threat actors không rõ danh tính đã giả mạo Văn phòng Giao thức của Hải quân Libya để nhắm mục tiêu vào quân đội Brazil bằng cách sử dụng các tệp ICS độc hại đã khai thác lỗ hổng này.
Tệp ICS chứa một mã JavaScript được thiết kế để hoạt động như một công cụ đánh cắp dữ liệu toàn diện nhằm đánh cắp credentials, email, danh bạ và các thư mục được chia sẻ đến một máy chủ bên ngoài ("ffrk[.]net"). Nó cũng tìm kiếm email trong một thư mục cụ thể và thêm các quy tắc lọc email Zimbra độc hại với tên "Correo" để chuyển tiếp tin nhắn đến [email protected].
Để tránh bị phát hiện, script được thiết kế để ẩn một số yếu tố giao diện người dùng và chỉ được kích hoạt nếu đã hơn ba ngày kể từ lần cuối cùng nó được thực thi.
Hiện tại vẫn chưa rõ ai đứng đằng sau cuộc tấn công này, nhưng vào đầu năm nay, ESET đã tiết lộ rằng threat actor của Nga được biết đến với tên APT28 đã khai thác các lỗ hổng XSS trong nhiều giải pháp webmail khác nhau từ Roundcube, Horde, MDaemon và Zimbra để giành quyền truy cập trái phép.
Một phương thức hoạt động tương tự cũng đã được các nhóm hacking khác như Winter Vivern và UNC1151 (còn gọi là Ghostwriter) áp dụng để tạo điều kiện thuận lợi cho việc đánh cắp credentials.
