Нулевой день в Zimbra эксплуатировался с января. Военных взломали через календарь — вендор молчал об атаках

leer en español

Zimbra StrikeReady ICS XSS zero-day UNC1151
Нулевой день в Zimbra эксплуатировался с января. Военных взломали через календарь — вендор молчал об атаках
Zimbra StrikeReady ICS XSS zero-day UNC1151

Уязвимость в Zimbra показала, что даже ваш цифровой ежедневник может быть шпионом.

image

Специалисты StrikeReady выявили серию целевых атак, в которых злоумышленники использовали уязвимость нулевого дня в Zimbra Collaboration Suite (ZCS) — популярной почтовой платформе с открытым исходным кодом, применяемой многими госструктурами и компаниями по всему миру. Ошибка получила идентификатор CVE-2025-27915 и представляет собой XSS-уязвимость, возникающую из-за недостаточной фильтрации HTML-содержимого в .ICS-файлах календаря. В результате атакующий мог внедрить вредоносный JavaScript-код и выполнить его в контексте пользовательской сессии.

ICS-файлы, известные также как iCalendar, служат для хранения данных о событиях, встречах и задачах и широко применяются для обмена расписаниями между разными приложениями. Именно этот формат злоумышленники выбрали для внедрения эксплойта: вредоносное письмо, замаскированное под официальное сообщение от протокольного отдела ВМС Ливии, содержало ICS-файл размером около 100 КБ, в котором находился зашифрованный JavaScript-фрагмент. Код был закодирован через Base64 и активировался при открытии вложения.

По данным StrikeReady, атака была направлена на военную организацию в Бразилии и началась ещё в первых числах января — задолго до выхода исправления. Компания Zimbra устранила уязвимость только 27 января, выпустив обновления ZCS 9.0.0 P44, 10.0.13 и 10.1.5. При этом официальное уведомление не содержало упоминания об активной эксплуатации ошибки, что делает обнаружение StrikeReady особенно значимым.

После расшифровки JavaScript-кода специалисты установили, что сценарий был тщательно спроектирован для кражи данных из Zimbra Webmail: логинов, паролей, адресной книги, писем и общих папок. Скрипт использовал асинхронное выполнение и серию функций IIFE, обеспечивающих скрытность и многопоточность. Среди выявленных действий — создание скрытых полей для кражи учётных данных, мониторинг активности пользователя с последующим принудительным выходом для повторного перехвата логина, обращение к Zimbra SOAP API для поиска и извлечения сообщений, пересылка содержимого каждые 4 часа, а также добавление фильтра с именем «Correo», перенаправляющего почту на Proton-адрес злоумышленников.

Кроме того, вредоносный код собирал артефакты аутентификации и резервные копии, экспортировал списки контактов и общие ресурсы, маскировал элементы интерфейса, чтобы не вызывать подозрений, и вводил отложенный запуск — 60 секунд до начала выполнения и ограничение повторного запуска не чаще одного раза в три дня. Такая структура позволяла вредоносной активности оставаться практически незаметной в течение длительного времени.

Специалисты не смогли с высокой уверенностью отнести атаку к конкретной группе, однако отметили, что подобный уровень разработки эксплойта свойственен крайне узкому кругу игроков, обладающих ресурсами для поиска уязвимостей нулевого дня. В отчёте также упоминается схожесть методик с приёмами, ранее применявшимися группировкой UNC1151.

StrikeReady опубликовала подробные индикаторы компрометации и расшифрованный код эксплойта, использовавшего формат .ICS как канал внедрения. Компания подчёркивает, что подобные атаки трудно обнаружить стандартными средствами, поскольку календарные вложения традиционно считаются безопасными и не вызывают подозрений у фильтров. Инцидент показал, что даже такие на первый взгляд безобидные форматы могут служить эффективным вектором доставки вредоносного кода при недостаточной проверке содержимого на стороне сервера.