Lỗ hổng Zimbra Zero-Day bị khai thác để nhắm mục tiêu vào quân đội Brazil

[Starlink]

Một lỗ hổng bảo mật hiện đã được vá trong Zimbra Collaboration đã bị khai thác như một lỗ hổng zero-day vào đầu năm nay trong các cuộc tấn công mạng nhắm vào quân đội Brazil.

Được theo dõi với mã CVE-2025-27915 (điểm CVSS: 5,4), lỗ hổng này là lỗ hổng mã hóa chéo trang web (XSS) được lưu trữ trong Classic Web Client phát sinh do nội dung HTML trong các tệp lịch ICS không được khử trùng đầy đủ, dẫn đến việc thực thi mã tùy ý.

Theo mô tả về lỗ hổng trong Cơ sở dữ liệu lỗ hổng quốc gia NIST (NVD), "Khi người dùng xem một tin nhắn email có chứa mục ICS độc hại, JavaScript nhúng trong đó sẽ được thực thi thông qua sự kiện ontoggle bên trong thẻ <details>".

"Điều này cho phép kẻ tấn công chạy JavaScript tùy ý trong phiên làm việc của nạn nhân, có khả năng dẫn đến các hành động trái phép như thiết lập bộ lọc email để chuyển hướng thư đến địa chỉ do kẻ tấn công kiểm soát. Kết quả là, kẻ tấn công có thể thực hiện các hành động trái phép trên tài khoản của nạn nhân, bao gồm chuyển hướng email và đánh cắp dữ liệu."

Lỗ hổng bảo mật này đã được Zimbra giải quyết thông qua bản vá 44 phiên bản 9.0.0, 10.0.13 và 10.1.5 phát hành vào ngày 27 tháng 1 năm 2025. Tuy nhiên, bản tư vấn không đề cập đến việc lỗ hổng này đã bị khai thác trong các cuộc tấn công thực tế.

Tuy nhiên, theo báo cáo do StrikeReady Labs công bố vào ngày 30 tháng 9 năm 2025, hoạt động thực tế được quan sát thấy liên quan đến các tác nhân đe dọa không xác định giả mạo Văn phòng Giao thức của Hải quân Libya để nhắm mục tiêu vào quân đội Brazil bằng cách sử dụng các tệp ICS độc hại khai thác lỗ hổng.

Tệp ICS chứa mã JavaScript được thiết kế để hoạt động như một công cụ đánh cắp dữ liệu toàn diện nhằm đánh cắp thông tin đăng nhập, email, danh bạ và thư mục dùng chung đến một máy chủ bên ngoài ("ffrk[.]net"). Tệp này cũng tìm kiếm email trong một thư mục cụ thể và thêm các quy tắc lọc email Zimbra độc hại có tên "Correo" để chuyển tiếp thư đến [email protected].

Để tránh bị phát hiện, tập lệnh được thiết kế sao cho ẩn đi một số thành phần giao diện người dùng và chỉ phát nổ nếu đã hơn ba ngày trôi qua kể từ lần cuối cùng nó được thực thi.

Hiện vẫn chưa rõ ai là người đứng sau vụ tấn công, nhưng đầu năm nay, ESET đã tiết lộ rằng nhóm tin tặc người Nga có tên APT28 đã khai thác lỗ hổng XSS trong nhiều giải pháp webmail từ Roundcube, Horde, MDaemon và Zimbra để truy cập trái phép.

Các nhóm tin tặc khác như Winter Vivern và UNC1151 (hay còn gọi là Ghostwriter) cũng áp dụng phương thức hoạt động tương tự để đánh cắp thông tin đăng nhập.