Cotação
0 items
terça-feira, 7 de outubro de 2025
Vulnerabilidade zero-day na Zimbra deixou Exército exposto
Uma vulnerabilidade zero-day na Zimbra Collaboration, ferramenta que integra e-mail, calendários, chats e compartilhamento de arquivos, levou a ciberataques às instituições militares brasileiras em 2025. A falha, identificada como CVE-2025-27915, estava relacionada aos scripts entre sites (XSS) no Classic Web Client: a falta de revisão no conteúdo HTML dos arquivos ICS, de calendário, deixava qualquer código ser executado no local.
O problema dia zero já foi corrigido com patches, mas, enquanto ativo, fazia com que um usuário que visualizasse e-mails contendo ICS malicioso executasse JavaScript embutido em um evento ontoggle dentro da tag [<] details [>].
A brecha foi descrita na Base de Dados Nacional de Vulnerabilidades do NIST (NVD), dos Estados Unidos.
Ataque aos militares brasileiros e correção
Segundo a descrição da NVD, a possibilidade de rodar códigos JavaScript deixava a vítima vulnerável a ações não-autorizadas, como a modificação de filtros de e-mail para redirecionar as mensagens a endereços controlados pelos criminosos. Assim, dados podiam ser roubados, levando mensagens e informações sensíveis a servidores maliciosos.
A Zimbra corrigiu a brecha dia zero nas versões do Patch 44 9.0.0, 10.0.13 e 10.1.5, lançadas em 27 de janeiro deste ano. Não há relatos de ataques que tenham explorado a brecha e afetado diretamente as instituições brasileiras, mas é possível que a exposição tenha levado dados a serem usados em ataques futuros.
Segundo um relatório da StrikeReady Labs, publicado na última terça-feira (30), houve atividade envolvendo atores desconhecidos imitando o Escritório Protocolar da Marinha da Líbia em tentativas de hackear militares brasileiros através de arquivos ICS maliciosos.
O arquivo continha um código JavaScript desenhado para agir como um ladrão de dados, encaminhando credenciais, contatos, e-mails e arquivos compartilhados a um servidor externo (ffrk.net), também buscando e-mails em arquivos específicos. O malware também adicionava filtros de e-mail no Zimbra com o nome "Correo", encaminhando mensagens para o endereço spam_to_junk@proton.me.
Para escapar de detecções, o script fazia o vírus esconder elementos da interface e só agir após terem passado três dias desde a última execução. Os responsáveis pela ação são desconhecidos, mas a ESET, há poucos meses, revelou que os hackers russos do grupo APT28 exploraram vulnerabilidades XSS em vários clientes de e-mail, como Roundcube, Horde, MDaemon e Zimbra, sendo uma pista importante.
Fonte: CANALTECH
Voltar