HackerNews 编译,转载请注明出处:
美国网络安全与基础设施安全局(CISA)已将 Synacor Zimbra 协作套件(ZCS)的一个漏洞(漏洞编号:CVE-2025-27915)添加至其已知被利用漏洞(KEV)目录中。
CVE-2025-27915 是 Zimbra 协作套件(9.0-10.1 版本)中存在的一种存储型跨站脚本(XSS)漏洞,由 ICS 文件中 HTML 过滤不充分所致。当受害者打开包含恶意 ICS 条目(日历数据交换格式)的电子邮件时,JavaScript 代码会通过<ontoggle>事件执行,攻击者借此可劫持会话、设置邮件重定向并窃取数据。
StrikeReady 公司的研究人员发现,威胁行为者利用恶意 iCalendar(.ICS)文件,通过零日攻击(指漏洞未被公开且无补丁修复时发起的攻击) exploiting 了 Zimbra 协作套件中的 CVE-2025-27915 漏洞。ICS 文件原本用于共享日历数据,而在今年早些时候,该文件被恶意利用以向目标系统植入 JavaScript 有效负载。
StrikeReady 发布的报告指出:“2025 年初,一个显示来自 193.29.58.37 的发送方伪造利比亚海军礼宾办公室的身份,向巴西军方发起攻击,利用的正是 Zimbra 协作套件中的零日漏洞 CVE-2025-27915。此次攻击借助了恶意 ICS 文件,这是一种常用的日历格式文件。”
美国网络安全与基础设施安全局:Zimbra 零日攻击事件详情
研究人员在分析大小超过 10KB 且嵌入了混淆 JavaScript 代码的 ICS 文件时,发现了这些攻击行为。
该恶意脚本以 Zimbra 网页邮件系统为攻击目标,窃取用户凭证、电子邮件、联系人及共享文件夹等信息,并将数据泄露至ffrk.net网站。此脚本采用多种规避检测技术:恶意代码延迟 60 秒执行、活动时间限制为 3 天、隐藏用户界面痕迹,且会强制闲置用户登出以窃取数据。研究人员还发现,该脚本通过多个立即调用函数表达式(IIFEs)实现异步运行。
以下是该恶意软件具备的功能:
- 注入隐藏表单字段,在无可见界面提示的情况下捕获用户名和密码;窃取在认证表单中输入的凭证信息;跟踪输入操作(鼠标 / 键盘),若用户处于闲置状态,则终止会话以实施数据窃取;调用 Zimbra SOAP 接口枚举文件夹并提取电子邮件;定期(约每 4 小时)将捕获的邮件内容上传至攻击者服务器;创建名为 “Correo” 的邮件转发规则,将邮件重定向至某个质子邮箱(ProtonMail)地址;收集认证相关数据及备份令牌并发送给攻击者;提取通讯录、通讯组列表及共享文件夹中的内容;注入后延迟 60 秒释放有效负载,以规避快速检测;限制全功能活动时长为 3 天,之后需进入冷却期;隐藏或移除界面元素,最大限度减少入侵痕迹;以多个独立代码块异步运行,拆分执行流程以增加分析难度。
StrikeReady 尚未确定此次攻击的具体实施组织,但指出仅有少数资源充足的行为体具备发起零日攻击的能力。研究人员发现,此次攻击所采用的战术、技术与程序(TTPs,网络攻击领域常用术语,指攻击方的行动模式)与白俄罗斯 APT 组织 UNC1151 的攻击手法存在相似之处。
根据《第 22-01 号具有约束力的行动指令:降低已知被利用漏洞的重大风险》(BOD 22-01)的要求,美国联邦民事执行部门(FCEB)所属机构必须在截止日期前修复已发现的漏洞,以防范利用目录中所列漏洞发起的攻击。专家还建议私营机构核查该漏洞目录,并及时修复自身基础设施中存在的相关漏洞。
美国网络安全与基础设施安全局要求联邦机构于 2025 年 10 月 28 日前完成该漏洞的修复工作。
消息来源:securityaffairs;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
