HackerNews 编译,转载请注明出处:
Zimbra 协作套件(Zimbra Collaboration)中一个现已修复的安全漏洞,于今年早些时候被作为零日漏洞(指未被厂商发现、未修复的漏洞)利用,攻击者借此针对巴西军方发起网络攻击。
该漏洞编号为CVE-2025-27915,CVSS 漏洞评分(衡量漏洞严重程度的标准)为 5.4,本质是 Zimbra 经典网页客户端(Classic Web Client)中的存储型跨站脚本漏洞(XSS) 。其成因是对 ICS 日历文件中的 HTML 内容过滤不充分,最终可导致攻击者执行任意代码。
美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)对该漏洞的描述指出:“当用户查看包含恶意 ICS 条目(指 ICS 文件中的特定内容块)的电子邮件时,嵌入在<details>标签内、通过ontoggle事件触发的 JavaScript 代码会被执行。”
这种漏洞利用方式使得攻击者能在受害者的会话(即用户当前登录状态)中运行任意 JavaScript 代码,进而可能实施未授权操作 —— 例如设置邮件过滤器,将受害者的邮件重定向至攻击者控制的邮箱地址。最终,攻击者可对受害者账号执行多种未授权操作,包括邮件劫持与数据窃取。
Zimbra 已于 2025 年 1 月 27 日发布的版本(9.0.0 Patch 44、10.0.13、10.1.5)中修复了该漏洞。不过,当时 Zimbra 发布的安全公告中,并未提及该漏洞已被用于真实世界的攻击活动。
但据网络安全公司 StrikeReady Labs 于 2025 年 9 月 30 日发布的报告显示,已监测到的真实攻击活动中,身份不明的威胁 actor(指发起攻击的个人或组织)通过伪造利比亚海军礼宾办公室的身份,向巴西军方发送包含恶意 ICS 文件的邮件,利用上述漏洞发起攻击。
该恶意 ICS 文件中包含一段 JavaScript 代码,其功能相当于一个 “全能数据窃取器”:可将受害者的账号凭证(如用户名密码)、电子邮件、联系人信息及共享文件夹数据窃取至外部服务器(域名为 “ffrk [.] net”);同时会搜索受害者邮箱中特定文件夹内的邮件,并添加名为 “Correo” 的恶意 Zimbra 邮件过滤规则,将这些邮件自动转发至邮箱 “spam_to_junk@proton.me”。
为躲避检测,这段恶意脚本还被设计了两种反侦察机制:一是隐藏邮箱界面中的部分元素,避免被用户察觉;二是设置 “触发条件”—— 仅当距离上次执行已超过 3 天时才会启动(防止频繁运行导致暴露)。
目前尚不清楚此次针对巴西军方的攻击背后的具体组织,但今年早些时候,网络安全公司 ESET 曾披露,代号为APT28的俄罗斯高级持续性威胁组织(APT,指具备长期潜伏、精准攻击能力的黑客组织),曾利用包括 Roundcube、Horde、MDaemon 及 Zimbra 在内的多款网页邮件系统中的 XSS 漏洞,获取未授权访问权限。
此外,其他黑客组织(如Winter Vivern、UNC1151,后者又名 “Ghostwriter”)也采用过类似攻击手法(利用 XSS 漏洞)实施凭证窃取。
在《黑客新闻》(The Hacker News)获取的一份声明中,Zimbra 表示其调查未发现该漏洞被用于针对巴西实体发起攻击的证据,并强调:“所有运行 2025 年 1 月及之后发布的版本(9.0.0 Patch 44、10.0.13、10.1.5)的 Zimbra 协作套件(ZCS)实例均不受该漏洞影响,不存在持续风险。”
目前《黑客新闻》已联系 StrikeReady Labs 寻求进一步置评,若收到回复将对报道进行补充更新。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
