Zimbra CVE-2025-66376: APT russo sfrutta XSS via email per colpire infrastrutture critiche ucraine

La CVE-2025-66376, una vulnerabilità di tipo Stored Cross-Site Scripting nella Classic UI di Zimbra Collaboration Suite (CVSS 7.2), è stata sfruttata attivamente in una campagna denominata Operation GhostMail da un gruppo di spionaggio con attribuzione a moderata confidenza ad APT28 (Fancy Bear). L'obiettivo erano entità governative ucraine, tra cui il Servizio Idrografico Statale.
​

La vulnerabilità risiede in un'insufficiente sanitizzazione delle direttive CSS @import nel corpo HTML delle email. Un attaccante invia un messaggio ordinario, privo di allegati e link sospetti: all'apertura nell'interfaccia webmail, il payload JavaScript nascosto nel corpo HTML si esegue silenziosamente nel contesto della sessione autenticata della vittima. Secondo Seqrite Labs, che ha analizzato la campagna, il malware raccoglie credenziali, token di sessione, codici di recovery 2FA, password salvate nel browser e fino a 90 giorni di contenuto della mailbox, esfiltrando il tutto via DNS e HTTPS. L'intera catena offensiva risiede nel corpo di una singola email senza mai toccare il disco.
​

La patch era disponibile da novembre 2025. La CISA ha inserito la CVE nel catalogo KEV il 18 marzo 2026, con scadenza di remediation al 1° aprile per le agenzie federali, e ha esteso la raccomandazione a tutte le organizzazioni. BleepingComputer ricorda che le vulnerabilità XSS in Zimbra sono bersagli ricorrenti di APT, con precedenti in Operation RoundPress (TA473) e sfruttamenti di CVE-2025-27915.
​

Versioni affette: ZCS 10.0.x (< 10.0.18), ZCS 10.1.x (< 10.1.13).
Azione raccomandata: aggiornare immediatamente a ZCS 10.0.18 o 10.1.13.

Fonti: ACN, The Hacker News, Bleeping Computer