超一万台 Zimbra 服务器易受持续 XSS 攻击
- 浏览次数 20
- 喜欢 0
HackerNews 编译,转载请注明出处:
据非营利性安全组织 Shadowserver 称,超一万台暴露在互联网上的 Zimbra 协作套件(ZCS)实例,因一个跨站脚本(XSS)安全漏洞,正面临持续攻击风险。
Zimbra 是一款广受欢迎的电子邮件与协作软件套件,全球数亿人在使用,其中包括数百家政府机构和数千家企业。
该漏洞编号为 CVE - 2025 - 48700,影响 ZCS 8.8.15、9.0、10.0 和 10.1 版本。未经身份验证的攻击者利用此漏洞,可在用户会话中执行任意 JavaScript 代码,进而获取敏感信息。
2025 年 6 月,Synacor 发布安全补丁修复该漏洞,并警告称,利用 CVE - 2025 - 48700 的攻击无需用户交互,用户在 Zimbra 经典用户界面查看精心制作的恶意电子邮件时,攻击即可触发。
周一,美国网络安全和基础设施安全局(CISA)基于该漏洞已被主动利用的证据,将 CVE - 2025 - 48700 标记为在实际中被滥用的漏洞,并将其添加到已知被利用漏洞(KEV)目录中。
美国网络安全机构还责令联邦政府行政部门(FCEB)在三天内,即 4 月 23 日前,保障其 Zimbra 服务器的安全。
周五,互联网安全监督组织 Shadowserver 也发出警告,超 10500 台暴露在互联网上的 Zimbra 服务器仍未打补丁,其中大部分位于亚洲(3794 台)和欧洲(3793 台)。
虽然 CISA 未公布 CVE - 2025 - 48700 攻击的具体细节,但另一个 XSS 漏洞(编号为 CVE - 2025 - 66376,11 月初修复),自 1 月起被国家级支持的 APT28(又名 “奇幻熊”、“锶”)军事黑客,用于针对乌克兰政府实体的网络钓鱼攻击。
赛克雷特实验室(Seqrite Labs)的安全研究人员将此次网络钓鱼活动代号为 “幽灵邮件行动”(Operation GhostMail)。该活动还针对乌克兰国家水文局(隶属于基础设施部的关键基础设施实体,提供导航、海事和水文支持),当收件人在存在漏洞的 Zimbra 网络邮件会话中打开恶意电子邮件时,就会收到经过混淆的 JavaScript 有效载荷。
赛克雷特实验室当时表示:“该网络钓鱼邮件没有恶意附件、可疑链接或宏。整个攻击链都在一封邮件的 HTML 正文中,没有恶意附件。”
Zimbra 的漏洞经常在攻击中被利用,近年来已导致数千台易受攻击的电子邮件服务器遭到入侵。
例如,2023 年 2 月,俄罗斯 “冬季鼬”(Winter Vivern)网络间谍利用另一个反射型 XSS 漏洞,入侵 Zimbra 网络邮件门户,窃取与北约结盟的组织和个人(包括军事人员、政府官员和外交官)收发的电子邮件。
最近,在 2024 年 10 月,美国和英国网络机构警告称,与俄罗斯对外情报局(SVR)有关联的 APT29(又名 “舒适熊”、“午夜暴风雪”)黑客,正在 “大规模” 攻击易受攻击的 Zimbra 服务器,利用的安全漏洞此前已被用于窃取电子邮件账户凭证。
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文