Attacchi informatici tramite vulnerabilità zero-day in Zimbra Collaboration Suite

I ricercatori di StrikeReady hanno identificato una serie di attacchi mirati in cui gli aggressori hanno sfruttato una vulnerabilità zero-day in Zimbra Collaboration Suite (ZCS), una popolare piattaforma di posta elettronica open source utilizzata da numerose agenzie governative e aziende in tutto il mondo.

La vulnerabilità, identificata come CVE-2025-27915, è una vulnerabilità XSS causata da un filtraggio insufficiente dei contenuti HTML nei file di calendario .ICS. Di conseguenza, un aggressore potrebbe iniettare codice JavaScript dannoso ed eseguirlo nel contesto della sessione dell’utente.

I file ICS, noti anche come iCalendar, vengono utilizzati per archiviare dati di eventi, riunioni e attività e sono ampiamente utilizzati per condividere pianificazioni tra diverse applicazioni. Questo formato è stato scelto dagli aggressori per implementare il loro exploit: un’e-mail dannosa, camuffata da messaggio ufficiale del Dipartimento di Protocollo della Marina libica, conteneva un file ICS di circa 100 KB, contenente un frammento JavaScript crittografato . Il codice era codificato in Base64 e si attivava all’apertura dell’allegato.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Secondo StrikeReady, l’attacco ha preso di mira un’organizzazione militare in Brasile ed è iniziato all’inizio di gennaio, ben prima del rilascio della patch. Zimbra ha corretto la vulnerabilità solo il 27 gennaio, rilasciando gli aggiornamenti ZCS 9.0.0 P44, 10.0.13 e 10.1.5. Tuttavia, la notifica ufficiale non menzionava alcuno sfruttamento attivo della vulnerabilità, rendendo la scoperta di StrikeReady particolarmente significativa.

Dopo aver decifrato il codice JavaScript, gli esperti hanno stabilito che lo script era stato progettato con cura per rubare dati da Zimbra Webmail: login, password, rubrica, email e cartelle pubbliche. Lo script utilizzava l’esecuzione asincrona e una serie di funzioni IIFE per garantire furtività e multithreading. Tra le azioni identificate c’erano la creazione di campi nascosti per rubare le credenziali, il monitoraggio dell’attività dell’utente seguito da un logout forzato per reintercettare l’accesso, l’accesso all’API SOAP di Zimbra per cercare e recuperare i messaggi, l’inoltro dei contenuti ogni quattro ore e l’aggiunta di un filtro denominato “Correo” che reindirizzava le email all’indirizzo Proton degli aggressori.

Inoltre, il malware raccoglieva artefatti di autenticazione e backup, esportava elenchi di contatti e risorse condivise, mascherava elementi dell’interfaccia per evitare sospetti e implementava un avvio ritardato di 60 secondi prima dell’esecuzione e una limitazione alla riesecuzione a non più di una volta ogni tre giorni. Questa struttura ha permesso all’attività dannosa di rimanere praticamente inosservata per lunghi periodi.

Gli esperti non sono stati in grado di attribuire con certezza l’attacco a un gruppo specifico, ma hanno osservato che questo livello di sviluppo di exploit è tipico di un gruppo molto ristretto di autori dotati delle risorse necessarie per individuare vulnerabilità zero-day. Il rapporto ha inoltre rilevato somiglianze tra i metodi utilizzati e quelli precedentemente utilizzati dal gruppo UNC1151.

StrikeReady ha pubblicato indicatori dettagliati di compromissione e ha decifrato il codice exploit che utilizzava il formato .ICS come canale di distribuzione. L’azienda sottolinea che tali attacchi sono difficili da rilevare utilizzando strumenti standard, poiché gli allegati del calendario sono tradizionalmente considerati sicuri e non destano sospetti nei sistemi di filtraggio. L’incidente ha dimostrato che anche formati apparentemente innocui possono fungere da efficace vettore di distribuzione di codice dannoso se la convalida dei contenuti lato server è inadeguata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.