🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Mais de 10.000 instâncias do Zimbra Collaboration Suite (ZCS) expostas on-line são vulneráveis a ataques contínuos que exploram uma falha de segurança de cross-site scripting (XSS), de acordo com a organização de segurança sem fins lucrativos Shadowserver.
Zimbra é um popular pacote de software de e-mail e colaboração usado por centenas de milhões de pessoas em todo o mundo, incluindo centenas de agências governamentais e milhares de empresas.
A vulnerabilidade (rastreada como CVE-2025-48700) afeta ZCS 8.8.15, 9.0, 10.0 e 10.1 e pode permitir que invasores não autenticados acessem informações confidenciais após executar JavaScript arbitrário na sessão do usuário.
A Synacor lançou patches de segurança para solucionar a falha em junho de 2025, quando alertou que as explorações CVE-2025-48700 não requerem interação do usuário e podem ser acionadas quando um usuário visualiza uma mensagem de e-mail criada com códigos maliciosos na interface do Zimbra Classic.
Na segunda-feira, a CISA sinalizou o CVE-2025-48700 como sendo abusado na natureza e o adicionou ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A agência de segurança cibernética dos EUA também ordenou que as agências do Poder Executivo Civil Federal (FCEB) protegessem seus servidores Zimbra dentro de três dias, até 23 de abril.
Na sexta-feira, o órgão de segurança da Internet Shadowserver também alertou que mais de 10.500 servidores Zimbra expostos online permanecem sem correção, a maioria deles na Ásia (3.794) e na Europa (3.793).
Servidores Zimbra sem patch expostos online (Shadowserver)
Embora a CISA não tenha compartilhado quaisquer detalhes sobre os ataques CVE-2025-48700, outra vulnerabilidade XSS (rastreada como CVE-2025-66376 e corrigida no início de novembro) foi explorada pelos hackers militares APT28 (também conhecidos como Fancy Bear, Strontium) apoiados pelo estado em ataques de phishing direcionados a entidades governamentais ucranianas a partir de janeiro.
Essa campanha de phishing (codinome Operação GhostMail pelos pesquisadores de segurança do Seqrite Labs) também teve como alvo a Agência Estatal de Hidrologia da Ucrânia (uma entidade de infraestrutura crítica subordinada ao Ministério de Infraestrutura que fornece suporte à navegação, marítimo e hidrográfico) e entregou uma carga JavaScript ofuscada quando os destinatários abriram os e-mails maliciosos em sessões vulneráveis de webmail do Zimbra.
“O e-mail de phishing não tem anexos maliciosos, nem links suspeitos, nem macros. Toda a cadeia de ataque reside dentro do corpo HTML de um único e-mail, não há anexos maliciosos”, disse Seqrite Labs na época.
As falhas do Zimbra são frequentemente exploradas em ataques e têm sido usadas para violar milhares de servidores de e-mail vulneráveis nos últimos anos.
Por exemplo, os espiões cibernéticos russos Winter Vivern usaram outra exploração refletida de XSS para violar os portais de webmail Zimbra em fevereiro de 2023 e roubar e-mails enviados e recebidos por organizações e indivíduos alinhados à OTAN, incluindo militares, funcionários do governo e diplomatas.
Mais recentemente, em Outubro de 2024, agências cibernéticas dos EUA e do Reino Unido alertaram que os hackers APT29 (também conhecidos como Cozy Bear, Midnight Blizzard) ligados ao Serviço de Inteligência Estrangeiro (SVR) da Rússia tinham como alvo servidores Zimbra vulneráveis “em grande escala”, explorando um problema de segurança que tinha sido anteriormente utilizado para roubar credenciais de contas de e-mail.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
Zimbra é um popular pacote de software de e-mail e colaboração usado por centenas de milhões de pessoas em todo o mundo, incluindo centenas de agências governamentais e milhares de empresas.
A vulnerabilidade (rastreada como CVE-2025-48700) afeta ZCS 8.8.15, 9.0, 10.0 e 10.1 e pode permitir que invasores não autenticados acessem informações confidenciais após executar JavaScript arbitrário na sessão do usuário.
A Synacor lançou patches de segurança para solucionar a falha em junho de 2025, quando alertou que as explorações CVE-2025-48700 não requerem interação do usuário e podem ser acionadas quando um usuário visualiza uma mensagem de e-mail criada com códigos maliciosos na interface do Zimbra Classic.
Na segunda-feira, a CISA sinalizou o CVE-2025-48700 como sendo abusado na natureza e o adicionou ao seu Catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), com base em evidências de exploração ativa.
A agência de segurança cibernética dos EUA também ordenou que as agências do Poder Executivo Civil Federal (FCEB) protegessem seus servidores Zimbra dentro de três dias, até 23 de abril.
Na sexta-feira, o órgão de segurança da Internet Shadowserver também alertou que mais de 10.500 servidores Zimbra expostos online permanecem sem correção, a maioria deles na Ásia (3.794) e na Europa (3.793).
Servidores Zimbra sem patch expostos online (Shadowserver)
Embora a CISA não tenha compartilhado quaisquer detalhes sobre os ataques CVE-2025-48700, outra vulnerabilidade XSS (rastreada como CVE-2025-66376 e corrigida no início de novembro) foi explorada pelos hackers militares APT28 (também conhecidos como Fancy Bear, Strontium) apoiados pelo estado em ataques de phishing direcionados a entidades governamentais ucranianas a partir de janeiro.
Essa campanha de phishing (codinome Operação GhostMail pelos pesquisadores de segurança do Seqrite Labs) também teve como alvo a Agência Estatal de Hidrologia da Ucrânia (uma entidade de infraestrutura crítica subordinada ao Ministério de Infraestrutura que fornece suporte à navegação, marítimo e hidrográfico) e entregou uma carga JavaScript ofuscada quando os destinatários abriram os e-mails maliciosos em sessões vulneráveis de webmail do Zimbra.
“O e-mail de phishing não tem anexos maliciosos, nem links suspeitos, nem macros. Toda a cadeia de ataque reside dentro do corpo HTML de um único e-mail, não há anexos maliciosos”, disse Seqrite Labs na época.
As falhas do Zimbra são frequentemente exploradas em ataques e têm sido usadas para violar milhares de servidores de e-mail vulneráveis nos últimos anos.
Por exemplo, os espiões cibernéticos russos Winter Vivern usaram outra exploração refletida de XSS para violar os portais de webmail Zimbra em fevereiro de 2023 e roubar e-mails enviados e recebidos por organizações e indivíduos alinhados à OTAN, incluindo militares, funcionários do governo e diplomatas.
Mais recentemente, em Outubro de 2024, agências cibernéticas dos EUA e do Reino Unido alertaram que os hackers APT29 (também conhecidos como Cozy Bear, Midnight Blizzard) ligados ao Serviço de Inteligência Estrangeiro (SVR) da Rússia tinham como alvo servidores Zimbra vulneráveis “em grande escala”, explorando um problema de segurança que tinha sido anteriormente utilizado para roubar credenciais de contas de e-mail.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #mais #de #10.000 #servidores #zimbra #vulneráveis #a #ataques #xss #contínuos
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário