Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Хакери ја искористиле ранливоста во Zimbra како „zero-day“ преку iCalendar датотеки

Објавено: 06.10.2025

Истражувачи кои следеле поголеми .ICS прилози во календарот откриле дека ранливост во Zimbra Collaboration Suite (ZCS) била искористена во zero-day напади на почетокот на годината.

ICS датотеките, познати и како iCalendar датотеки, се користат за складирање на информации за календари и закажувања (состаноци, настани и задачи) во обичен текст и за размена помеѓу различни апликации за календари.

Заканувачките актери ја искористиле ранливоста CVE-2025-27915, cross-site scripting (XSS) ранливост во ZCS 9.0, 10.0 и 10.1, за да испорачаат JavaScript payload на целните системи.

Ранливоста произлегува од недоволно чистење (sanitization) на HTML содржината во ICS датотеките, што им овозможило на напаѓачите да извршат произволен JavaScript во сесијата на жртвата, на пример, поставување филтри кои ги пренасочуваат пораките кон нив.

Zimbra го реши безбедносниот проблем на 27 јануари со објавување на верзиите ZCS 9.0.0 P44, 10.0.13 и 10.1.5, но не спомна дека имало активна злоупотреба.

Сепак, истражувачите од StrikeReady, компанија што развива AI платформа за безбедносни операции и управување со закани, го откриле нападот откако внимателно ги следеле .ICS датотеките поголеми од 10KB кои содржеле JavaScript код.

Тие утврдиле дека нападите започнале на почетокот на јануари, пред Zimbra да ја издаде закрпата.

Напаѓачот го лажирал (spoofed) Канцеларијата за протокол на Либиската морнарица во е-пошта која испорачала zero-day експлоатација насочена кон бразилска воена организација.

Злонамерна е-пошта испратена од напаѓачите

Злонамерната е-пошта содржеше .ICS датотека (00KB) со JavaScript-датотека која беше обфускирана користејќи ја шемата за кодирање Base64.

Deobfuscating на JavaScript payload-от

Според анализата на истражувачите, payload-от е дизајниран да краде податоци од Zimbra Webmail, како што се акредитиви (кориснички имиња и лозинки), е-пошта, контакти и споделени папки.

StrikeReady наведува дека злонамерниот код е имплементиран така што се извршува во асинхрон режим и преку различни IIFE (Immediately Invoked Function Expressions) — функции што се извршуваат веднаш по дефинирањето. Истражувачите откриле дека може да изврши следни активности:

  • Креира скриени полиња за корисничко име и лозинка
  • Краде акредитиви од формулари за најава
  • Го следи однесувањето на корисникот (глувче и тастатура) и ги одјавува неактивните корисници за да го активира процесот на кражба
  • Го користи Zimbra SOAP API за пребарување низ папки и преземање на е-пошта
  • Ја испраќа содржината на е-поштата до напаѓачот (повторува секои 4 часа)
  • Додава филтер со име „Correo“ за препраќање на пошта кон Proton адреса
  • Ги собира овие податоци за автентикација/резервни копии и ги извезува (exfiltrate)
  • Ги извезува контактите, дистрибутивните листи и споделените папки
  • Додава задоцнување од 60 секунди пред извршување
  • Поставува ограничување на извршување на секои 3 дена (повторно се извршува само ако поминале ≥3 дена од последното извршување)
  • Ги сокрива елементите од корисничкиот интерфејс (UI) за да ја намали можноста за визуелно откривање

StrikeReady не можел со висока сигурност да го припише овој напад на позната хакерска група, но забележале дека мал број актери се способни да откријат zero-day ранливости во широко користени производи, напоменувајќи дека „група поврзана со Русија е особено активна“.

Истражувачите исто така споменаа дека слични тактики, техники и процедури (TTPs) биле забележани во напади што им се припишуваат на UNC1151 — заканувачка група која Mandiant ја поврзува со владата на Белорусија.

Извештајот на StrikeReady содржи индикатори на компромитација (IoCs) и деобфускирана верзија на JavaScript кодот од нападот кој користи .ICS календарски датотеки.

BleepingComputer се обратил до Zimbra со прашања за оваа активност, и ќе го ажурира извештајот штом добие нивен одговор.

Ажурирање 6 октомври – Портпарол на Zimbra изјавил за BleepingComputer дека според нивните податоци, активноста на експлоатацијата не изгледа дека е широко распространета.

Исто така, компанијата им препорачува на корисниците да преземат следни безбедносни мерки:

  • Да ги прегледаат постојните филтри за е-пошта за неовластени промени
  • Да се осигураат дека нивната Zimbra инсталација е ажурирана со најновата закрпа
  • Да ја прегледаат базата на пораки за Base64-кодирани .ICS записи и да го следат мрежниот сообраќај за било какви невообичаени или сомнителни поврзувања.

Извори:

  • Bleeping Computer – „Hackers exploited Zimbra flaw as zero-day using iCalendar files“ .Bleeping Computer