Ένα σοβαρό κενό ασφαλείας στην πλατφόρμα Zimbra Collaboration, το οποίο είχε παραμείνει απαρατήρητο για καιρό, αξιοποιήθηκε ως zero-day σε μια στοχευμένη εκστρατεία κατασκοπείας που έθεσε σε κίνδυνο τις επικοινωνίες του στρατού της Βραζιλίας. Η επίθεση, η οποία χρησιμοποιούσε δολώματα από αρχεία ημερολογίου (ICS) για την εκτέλεση κώδικα, αναδεικνύει για άλλη μια φορά την ευπάθεια κρίσιμων θεσμών σε φαινομενικά αθώες λειτουργίες webmail.
Σύμφωνα με πρόσφατη έκθεση των StrikeReady Labs, η κακόβουλη δραστηριότητα –η οποία έλαβε χώρα πριν την έκδοση του επίσημου patch τον Ιανουάριο του 2025– εκμεταλλεύτηκε την τρωτότητα CVE-2025-27915.
Η τρωτότητα CVE-2025-27915 ήταν ένα ζήτημα Stored Cross-Site Scripting που εντοπίστηκε στον Classic Web Client του Zimbra. Η ρίζα του προβλήματος βρισκόταν στην ανεπαρκή «απολύμανση» του περιεχομένου HTML που εμπεριέχεται στα αρχεία ημερολογίου ICS.
Η εκμετάλλευση ήταν ιδιαίτερα ύπουλη, καθώς δεν απαιτούσε κάποιο κλικ σε εξωτερικό σύνδεσμο. Όπως περιγράφεται από τη βάση δεδομένων NIST National Vulnerability Database, «όταν ένας χρήστης έβλεπε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιείχε μια κακόβουλη καταχώρηση ICS, ο ενσωματωμένος κώδικας JavaScript εκτελούνταν μέσω ενός γεγονότος ontoggle μέσα σε μια ετικέτα <details>. Αυτό επέτρεπε στον εισβολέα να εκτελέσει αυθαίρετο JavaScript εντός της συνεδρίας του θύματος, οδηγώντας δυνητικά σε μη εξουσιοδοτημένες ενέργειες, όπως η ρύθμιση φίλτρων email για αναδρομολόγηση μηνυμάτων σε διεύθυνση ελεγχόμενη από τον εισβολέα».
Με απλά λόγια, το άνοιγμα ενός email που περιείχε ένα «ραντεβού» αρκούσε για να εκτελεστεί ο κώδικας.
Εν προκειμένω, η εκστρατεία επίθεσης δεν ήταν τυχαία, καθώς οι άγνωστοι δράστες στόχευσαν συγκεκριμένα μέλη του στρατού της Βραζιλίας, χρησιμοποιώντας μια εξελιγμένη μέθοδο κοινωνικής μηχανικής.
Οι εισβολείς πλαστογράφησαν το Γραφείο Πρωτοκόλλου του Ναυτικού της Λιβύης -Libyan Navy’s Office of Protocol, για να προσδώσουν αξιοπιστία στα μηνύματα. Τα emails περιείχαν τα κακόβουλα αρχεία ICS, τα οποία υποτίθεται ότι αφορούσαν επίσημες συναντήσεις ή διακρατικές επικοινωνίες.
Μόλις ο κώδικας JavaScript εκτελούνταν επιτυχώς, λειτουργούσε ως ένας ολοκληρωμένος κλέφτης δεδομένων (data stealer).
Ο πρωταρχικός στόχος ήταν η συλλογή διαπιστευτηρίων, αρχείων email, επαφών και κοινόχρηστων φακέλων.
Όλα τα κλεμμένα δεδομένα αποστέλλονταν αμέσως σε έναν εξωτερικό διακομιστή ελεγχόμενο από τους δράστες, με διεύθυνση ffrk[.]net.
Για να διατηρήσουν την πρόσβαση και να αποφύγουν τον εντοπισμό, οι επιτιθέμενοι εφάρμοσαν δύο κύριες τεχνικές:
- Δημιουργία φίλτρου ανακατεύθυνσης: Ο κώδικας έψαχνε για συγκεκριμένα emails και πρόσθετε κακόβουλους κανόνες φιλτραρίσματος του Zimbra με την ονομασία “Correo”, στα ισπανικά το ταχυδρομείο. Αυτός ο κανόνας ήταν ρυθμισμένος να προωθεί αντίγραφα κρίσιμων μηνυμάτων στη διεύθυνση spam_to_junk@proton.me.
- Καθυστέρηση & απόκρυψη: Ο κώδικας ήταν σχεδιασμένος ώστε να κρύβει ορισμένα στοιχεία του περιβάλλοντος χρήστη και το πιο σημαντικό, εκτελούταν πλήρως μόνο αν είχαν περάσει περισσότερες από τρεις ημέρες από την τελευταία του εκτέλεση. Αυτή η χρονική καθυστέρηση εμπόδιζε τα συστήματα ασφαλείας να καταγράψουν πλήρως τη συμπεριφορά του κακόβουλου λογισμικού σε περιβάλλοντα δοκιμή).
Η ταυτότητα των δραστών παραμένει ασαφής. Ωστόσο, η μέθοδος του zero-day XSS σε λύσεις webmail παραπέμπει σε γνώριμα μοτίβα κρατικών ή εξαιρετικά εξειδικευμένων ομάδων.
Νωρίτερα μέσα στο 2025, η ESET είχε αποκαλύψει ότι ο ρωσικής καταγωγής παράγοντας απειλής, γνωστός ως APT28 ή Fancy Bear, είχε εκμεταλλευτεί τρωτότητες XSS σε διάφορες πλατφόρμες webmail, όπως Roundcube, Horde, MDaemon και Zimbra, για την απόκτηση μη εξουσιοδοτημένης πρόσβασης.
Παρόμοια τακτική έχουν υιοθετήσει και άλλες γνωστές ομάδες, όπως οι Winter Vivern και η UNC1151, γνωστή και ως Ghostwriter, με σκοπό την κλοπή διαπιστευτηρίων.
Η Zimbra αντιμετώπισε το ζήτημα της CVE-2025-27915 με την κυκλοφορία των ενημερώσεων Zimbra Collaboration Suite 9.0.0 Patch 44, Zimbra Collaboration Suite 10.0.13 και Zimbra Collaboration Suite 10.1.5.
Στους οργανισμούς που χρησιμοποιούν την πλατφόρμα Zimbra συνιστάται η άμεση αναβάθμιση σε μία από τις ενημερωμένες εκδόσεις για την αποφυγή περαιτέρω εκμετάλλευσης αυτής της τρωτότητας, καθώς η χρήση αρχείων ICS ως φορέα επίθεσης αποδεικνύεται ένας εξαιρετικά αποτελεσματικός τρόπος παράκαμψης των παραδοσιακών ελέγχων ασφαλείας.
