Redazione RHC : 6 Ottobre 2025 13:04
I ricercatori di StrikeReady hanno identificato una serie di attacchi mirati in cui gli aggressori hanno sfruttato una vulnerabilità zero-day in Zimbra Collaboration Suite (ZCS), una popolare piattaforma di posta elettronica open source utilizzata da numerose agenzie governative e aziende in tutto il mondo.
La vulnerabilità, identificata come CVE-2025-27915, è una vulnerabilità XSS causata da un filtraggio insufficiente dei contenuti HTML nei file di calendario .ICS. Di conseguenza, un aggressore potrebbe iniettare codice JavaScript dannoso ed eseguirlo nel contesto della sessione dell’utente.
I file ICS, noti anche come iCalendar, vengono utilizzati per archiviare dati di eventi, riunioni e attività e sono ampiamente utilizzati per condividere pianificazioni tra diverse applicazioni. Questo formato è stato scelto dagli aggressori per implementare il loro exploit: un’e-mail dannosa, camuffata da messaggio ufficiale del Dipartimento di Protocollo della Marina libica, conteneva un file ICS di circa 100 KB, contenente un frammento JavaScript crittografato . Il codice era codificato in Base64 e si attivava all’apertura dell’allegato.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Secondo StrikeReady, l’attacco ha preso di mira un’organizzazione militare in Brasile ed è iniziato all’inizio di gennaio, ben prima del rilascio della patch. Zimbra ha corretto la vulnerabilità solo il 27 gennaio, rilasciando gli aggiornamenti ZCS 9.0.0 P44, 10.0.13 e 10.1.5. Tuttavia, la notifica ufficiale non menzionava alcuno sfruttamento attivo della vulnerabilità, rendendo la scoperta di StrikeReady particolarmente significativa.
Dopo aver decifrato il codice JavaScript, gli esperti hanno stabilito che lo script era stato progettato con cura per rubare dati da Zimbra Webmail: login, password, rubrica, email e cartelle pubbliche. Lo script utilizzava l’esecuzione asincrona e una serie di funzioni IIFE per garantire furtività e multithreading. Tra le azioni identificate c’erano la creazione di campi nascosti per rubare le credenziali, il monitoraggio dell’attività dell’utente seguito da un logout forzato per reintercettare l’accesso, l’accesso all’API SOAP di Zimbra per cercare e recuperare i messaggi, l’inoltro dei contenuti ogni quattro ore e l’aggiunta di un filtro denominato “Correo” che reindirizzava le email all’indirizzo Proton degli aggressori.
Inoltre, il malware raccoglieva artefatti di autenticazione e backup, esportava elenchi di contatti e risorse condivise, mascherava elementi dell’interfaccia per evitare sospetti e implementava un avvio ritardato di 60 secondi prima dell’esecuzione e una limitazione alla riesecuzione a non più di una volta ogni tre giorni. Questa struttura ha permesso all’attività dannosa di rimanere praticamente inosservata per lunghi periodi.
Gli esperti non sono stati in grado di attribuire con certezza l’attacco a un gruppo specifico, ma hanno osservato che questo livello di sviluppo di exploit è tipico di un gruppo molto ristretto di autori dotati delle risorse necessarie per individuare vulnerabilità zero-day. Il rapporto ha inoltre rilevato somiglianze tra i metodi utilizzati e quelli precedentemente utilizzati dal gruppo UNC1151.
StrikeReady ha pubblicato indicatori dettagliati di compromissione e ha decifrato il codice exploit che utilizzava il formato .ICS come canale di distribuzione. L’azienda sottolinea che tali attacchi sono difficili da rilevare utilizzando strumenti standard, poiché gli allegati del calendario sono tradizionalmente considerati sicuri e non destano sospetti nei sistemi di filtraggio. L’incidente ha dimostrato che anche formati apparentemente innocui possono fungere da efficace vettore di distribuzione di codice dannoso se la convalida dei contenuti lato server è inadeguata.
Redazione18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
