Η CISA έδωσε εντολή στις κυβερνητικές υπηρεσίες των ΗΠΑ να ασφαλίσουν τους διακομιστές τους έναντι μιας ευπάθειας που χρησιμοποιείται ενεργά στο Zimbra Collaboration Suite (ZCS).
Το Zimbra είναι μια πολύ δημοφιλής σουίτα λογισμικού ηλεκτρονικού ταχυδρομείου και συνεργασίας που χρησιμοποιείται από εκατοντάδες εκατομμύρια ανθρώπους σε όλο τον κόσμο, συμπεριλαμβανομένων χιλιάδων επιχειρήσεων και εκατοντάδων κρατικών υπηρεσιών.
Παρακολούθηση ως CVE-2025-66376 και μπαλωμένο στις αρχές Νοεμβρίου, αυτό το υψηλής σοβαρότητας ελάττωμα ασφαλείας προέρχεται από μια αδυναμία αποθηκευμένης δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) στην Κλασική διεπαφή χρήστη, την οποία θα μπορούσαν να εκμεταλλευτούν οι απομακρυσμένοι εισβολείς χωρίς έλεγχο ταυτότητας, κάνοντας κατάχρηση των οδηγιών Cascading Style Sheets (CSS) @import σε HTML email.
Παρόλο που η Synacor (η εταιρεία πίσω από τη Zimbra) δεν μοιράστηκε λεπτομέρειες σχετικά με τον αντίκτυπο μιας επιτυχημένης επίθεσης CVE-2025-66376, μπορεί πιθανότατα να αξιοποιηθεί για την εκτέλεση αυθαίρετης JavaScript μέσω κακόβουλων μηνυμάτων ηλεκτρονικού ταχυδρομείου που βασίζονται σε HTML, επιτρέποντας δυνητικά στους εισβολείς να παραβιάζουν τις συνεδρίες χρήστη και να κλέβουν ευαίσθητα δεδομένα μέσα στο περιβάλλον του Zimimbra.
CISA προστέθηκε το στο δικό του κατάλογος τρωτών σημείων που εκμεταλλεύονται στη φύση την Τετάρτη και έδωσε στις υπηρεσίες του Federal Civilian Executive Branch (FCEB) δύο εβδομάδες για να εξασφαλίσουν τους διακομιστές τους έως την 1η Απριλίου, όπως ορίζεται από τη δεσμευτική επιχειρησιακή οδηγία (BOD) 22-01 που εκδόθηκε τον Νοέμβριο του 2021.
Αν και το BOD 22-01 ισχύει μόνο για ομοσπονδιακούς οργανισμούς, η υπηρεσία κυβερνοασφάλειας των ΗΠΑ ενθάρρυνε όλους τους οργανισμούς, συμπεριλαμβανομένων εκείνων του ιδιωτικού τομέα, να επιδιορθώσουν αυτό το ελάττωμα που εκμεταλλεύεται ενεργά το συντομότερο δυνατό.
«Εφαρμόστε μέτρα μετριασμού ανά οδηγό προμηθευτή, ακολουθήστε τις ισχύουσες οδηγίες BOD 22-01 για υπηρεσίες cloud ή διακόψτε τη χρήση του προϊόντος εάν δεν υπάρχουν διαθέσιμα μέτρα αντιμετώπισης», προειδοποίησε η CISA. «Αυτοί οι τύποι τρωτών σημείων είναι συχνοί φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση».
Διακομιστές Zimbra υπό επίθεση
Τα ελαττώματα ασφαλείας της Zimbra στοχοποιούνται συχνά σε επιθέσεις και έχουν γίνει αντικείμενο εκμετάλλευσης για την παραβίαση χιλιάδων ευάλωτων διακομιστών email παγκοσμίως τα τελευταία χρόνια.
Για παράδειγμα, ήδη από τον Ιούνιο του 2022, τα σφάλματα εξουσιοδότησης παράκαμψης και απομακρυσμένης εκτέλεσης κώδικα Zimbra καταχράστηκαν για την παραβίαση περισσότερων από 1.000 διακομιστών.
Ξεκινώντας τον Σεπτέμβριο του 2022, οι χάκερ εκμεταλλεύτηκαν μια ευπάθεια zero-day στο Zimbra Collaboration Suite, παραβιάζοντας σχεδόν 900 διακομιστές μέσα σε δύο μήνες μετά την απόκτηση απομακρυσμένης εκτέλεσης κώδικα σε παραβιασμένες παρουσίες.
Η υποστηριζόμενη από το ρωσικό κράτος ομάδα hacking Winter Vivern χρησιμοποίησε επίσης εκμεταλλεύσεις ανακλώμενων XSS για να παραβιάσει τις διαδικτυακές πύλες ηλεκτρονικού ταχυδρομείου Zimbra των κυβερνήσεων ευθυγραμμισμένες με το ΝΑΤΟ και τα γραμματοκιβώτια κυβερνητικών αξιωματούχων, στρατιωτικού προσωπικού και διπλωματών.
Πιο πρόσφατα, οι φορείς απειλών εκμεταλλεύτηκαν μια άλλη ευπάθεια Zimbra XSS (CVE-2025-27915) σε επιθέσεις zero-day για να εκτελέσουν αυθαίρετο κώδικα JavaScript, επιτρέποντάς τους να ορίσουν φίλτρα email που ανακατευθύνουν μηνύματα σε διακομιστές που ελέγχονται από τους εισβολείς.
Το κακόβουλο λογισμικό γίνεται πιο έξυπνο. Η Κόκκινη Έκθεση 2026 αποκαλύπτει πώς οι νέες απειλές χρησιμοποιούν τα μαθηματικά για να ανιχνεύουν sandbox και να κρύβονται σε κοινή θέα.
Κατεβάστε την ανάλυσή μας για 1,1 εκατομμύρια κακόβουλα δείγματα για να αποκαλύψετε τις 10 κορυφαίες τεχνικές και να δείτε εάν η στοίβα ασφαλείας σας έχει τυφλωθεί.
VIA: bleepingcomputer.com
