Las vulnerabilidades de seguridad actuales durante el parche en la colaboración de Zimbra se utilizaron como días cero en ataques cibernéticos dirigidos a los militares brasileños a principios de este año.
La vulnerabilidad rastreada como CVE-2025-27915 (CVSS Score: 5.4) es una vulnerabilidad en el clásico cliente web Scripting (XSS) que resulta en una desinfección insuficiente del contenido HTML en los archivos de calendario ICS.
«Cuando un usuario ve un mensaje de correo electrónico que contiene una entrada de ICS maliciosa, el JavaScript integrado del usuario se ejecuta a través del evento Ontoggle en la etiqueta, de acuerdo con la descripción de defectos NIST National Ulnerability Database (NVD)».
«Esto permite que un atacante ejecute JavaScript arbitrario dentro de la sesión de la víctima, lo que puede conducir a acciones deshonestas, como establecer filtros de correo electrónico para redirigir mensajes a una dirección controlada por el atacante. Como resultado, un atacante puede realizar acciones no autorizadas en la cuenta de la víctima, incluidas la redirección de correo electrónico y las extensiones de datos».
La vulnerabilidad fue abordada por Zimbra como parte de las versiones 9.0.0 Patch 44, 10.0.13 y 10.1.5 lanzadas el 27 de enero de 2025. Sin embargo, la recomendación no menciona que fue explotada en ataques reales.
Sin embargo, según un informe publicado por Strikeready Labs el 30 de septiembre de 2025, la actividad salvaje observada incluyó a un actor de amenaza desconocido que causó que la Oficina de Protocolo de la Armada de Libia apuntar a fuerzas brasileñas con archivos MALICIOSOS que explotaron los defectos.
El archivo ICS contenía código JavaScript diseñado para actuar como un robador de datos integral para absorber credenciales, correos electrónicos, contactos y carpetas compartidas a servidores externos («FFRK (.)»). También busca correos electrónicos en una carpeta específica y agrega una regla de filtro de correo electrónico de Zimbra maliciosa llamada «Correo» para reenviar el mensaje a spam_to_junk@proton.me.
Para evitar la detección, los scripts están hechos para ocultar ciertos elementos de la interfaz de usuario y explotar solo si han pasado más de 3 días desde la última vez que se ejecutó.
No está claro quién está detrás del ataque en este momento, pero a principios de este año, ESET reveló que un actor de amenaza ruso conocido como APT28 ha explotado las vulnerabilidades de XSS en varias soluciones de correo web de Roundcube, Horde, Mdaemon y Zimbra para obtener acceso no autorizado.
Otros grupos de piratería también han adoptado modalidades similares como Winter Vivern y UNC1151 (también conocido como GhostWriter) para promover el robo de calificación.
Source link
