8 Ottobre 2025 10:59    Alert

Zimbra Collaboration Suite: sfruttamento attivo della vulnerabilità CVE-2025-27915 via file ICS malevoli

Nelle prime settimane di ottobre 2025 è stato confermato lo sfruttamento “in the wild” della vulnerabilità CVE-2025-27915 (CVSS 5.4), introdotta da una scarsa sanitizzazione dell’HTML nei file .ICS (iCalendar) caricati nel Zimbra Classic Web Client. Il difetto consente a un aggressore remoto di far eseguire codice JavaScript nel contesto della sessione utente visualizzando un invito di calendario malevolo, sfruttando l’evento ontoggle in un tag <details> per detonare il payload.​

Secondo StrikeReady Labs, gli attacchi mirati hanno preso di mira l’esercito brasiliano a inizio anno: email contraffatte come provenienti dall’Ufficio Protocolli della Marina libica contenevano allegati ICS con script obfuscato che, una volta aperti, esfiltravano credenziali, email, contatti e token 2FA verso un server C2 (ffrk[.]net). Il malware inoltre creava regole di filtro “Correo” per inoltrare messaggi a spam_to_junk@proton.me e ritardava l’esecuzione di giorni per eludere i controlli.​

L’impatto della vulnerabilità include:

  • Reindirizzamento di email e furto di credenziali via API SOAP di Zimbra

  • Esfiltrazione automatizzata di database di posta e rubrica

  • Persistenza tramite regole di filtro malevole

  • Possibile bypass di meccanismi 2FA e session hijacking
     

Zimbra ha rilasciato le patch il 27 gennaio 2025 per le versioni 9.0.0 Patch 44, 10.0.13 e 10.1.5; tuttavia, molti server non aggiornati restano esposti. CISA e altre autorità hanno inserito CVE-2025-27915 nei loro cataloghi di “Known Exploited Vulnerabilities”, sottolineando la necessità di intervento immediato.​

Azioni consigliate:

  • Verificare che le installazioni ZCS eseguano almeno le versioni patchate di gennaio 2025

  • Applicare subito le patch ufficiali o, in alternativa, disabilitare temporaneamente il Classic Web Client

  • Analizzare i log di posta e web per allegati .ICS sospetti e modifiche a regole di filtro

  • Rimuovere o correggere qualsiasi regola “Correo” non riconosciuta

  • Istruire gli utenti a non aprire inviti di calendario non verificati

 

Fonti: ACN,The Hacker News, Rescana