Zimbra Zero-Day المستغلة لاستهداف الجيش البرازيلي عبر ملفات ICS الضارة

06 أكتوبر ، 2025رافي لاكشمانانأمان البريد الإلكتروني / يوم الصفر

تم استغلال ثغرة أمنية مرقعة الآن في تعاون زيمبرا في يوم صفر في وقت سابق من هذا العام في هجمات الإنترنت التي تستهدف الجيش البرازيلي.

تم تتبعه CVE-2025-27915 (CVSS SCORE: 5.4) ، تعرض الثغرة الأمنية عبارة عن ثغرة نصفية مخزنة للبرمجة (XSS) في عميل الويب الكلاسيكي الذي ينشأ نتيجة لعدم كفاية التعقيم لمحتوى HTML في ملفات تقويم ICS ، مما يؤدي إلى تنفيذ التعليمات البرمجية التعسفية.

“عندما ينظر المستخدم إلى رسالة بريد إلكتروني تحتوي على إدخال ICS ضار ، يتم تنفيذ JavaScript المدمج عبر حدث OnToggle داخل علامة ” ، وفقًا لـ A وصف من العيوب في قاعدة بيانات NIST الوطنية للضعف (NVD).

“هذا يتيح للمهاجم تشغيل جافا سكريبت التعسفي في جلسة الضحية ، مما قد يؤدي إلى إجراءات غير مصرح بها مثل تعيين مرشحات البريد الإلكتروني لإعادة توجيه الرسائل إلى عنوان مسيطر على المهاجمين. ونتيجة لذلك ، يمكن للمهاجم إجراء تصرفات غير مصرح بها على حساب الضحية ، بما في ذلك إعادة توجيه البريد الإلكتروني والبيانات.”

تمت معالجة الضعف من قبل زيمبرا كجزء من الإصدارات 9.0.0 التصحيح 44و 10.0.13، و 10.1.5 تم إصداره في 27 يناير 2025. ومع ذلك ، لم يذكر الاستشارية في هجمات العالم الحقيقي.

ومع ذلك ، وفقا لتقرير المنشورة من قبل Strikeready Labs في 30 سبتمبر 2025 ، تضمن النشاط الذي تمت ملاحظته في البلاد الجهات الفاعلة غير المعروفة التي تخبر مكتب البروتوكول في البحرية الليبية لاستهداف الجيش البرازيلي باستخدام ملفات ICS الضارة التي استغلت الخلل.

احتوى ملف ICS على رمز JavaScript مصمم ليكون بمثابة سارقة شاملة للبيانات لإجراء بيانات اعتماد Siphon ورسائل البريد الإلكتروني وجهات الاتصال والمجلدات المشتركة إلى خادم خارجي (“FFRK[.]Net “). يبحث أيضًا عن رسائل البريد الإلكتروني في مجلد معين ، ويضيف قواعد تصفية البريد الإلكتروني الخبيثة Zimbra باسم” Correo “لإعادة توجيه الرسائل إلى spam_to_junk@proton.me.

كوسيلة لتجنب الكشف ، تم تصميم البرنامج النصي بحيث يخفي بعض عناصر واجهة المستخدم ولا ينفجر إلا إذا مرت أكثر من ثلاثة أيام منذ آخر مرة تم تنفيذها.

ليس من الواضح حاليًا من الذي يقف وراء الهجوم ، ولكن في وقت سابق من هذا العام ، كشف ESET أن ممثل التهديد الروسي المعروف باسم APT28 قد استغل نقاط الضعف XSS في مختلف حلول بريد الويب من Roundcube و Horde و Mdaemon و Zimbra للحصول على وصول غير مصرح به.

كما تم تبني طريقة مماثلة للتشغيل من قبل مجموعات اختراق أخرى مثل Winter Vivern و UNC1151 (AKA Ghostwriter) لتسهيل سرقة الاعتماد.