CISA предписало госучреждениям США устранить уязвимость в Zimbra Collaboration Suite (ZCS), активно эксплуатируемую хакерами. Уязвимость CVE-2025-66376 типа XSS позволяет выполнять произвольный код через HTML-письма. — bleepingcomputer.com
Агентство по кибербезопасности и защите инфраструктуры США (CISA) предписало федеральным правительственным учреждениям США обезопасить свои серверы от уязвимости в программном обеспечении Zimbra Collaboration Suite (ZCS), которая активно эксплуатируется злоумышленниками.
Zimbra — это очень популярный пакет программного обеспечения для электронной почты и совместной работы, которым пользуются сотни миллионов людей по всему миру, включая тысячи предприятий и сотни государственных учреждений.
Эта критическая уязвимость безопасности, отслеживаемая как CVE-2025-66376 и исправленная в начале ноября, представляет собой слабость типа «хранимый межсайтовый скриптинг» (XSS) в классическом пользовательском интерфейсе (Classic UI). Удаленные неаутентифицированные злоумышленники могли использовать ее, злоупотребляя директивами @import каскадных таблиц стилей (CSS) в HTML-коде электронных писем.
Хотя компания Synacor (разработчик Zimbra) не предоставила подробностей о последствиях успешной атаки с использованием CVE-2025-66376, вероятно, она может быть использована для выполнения произвольного JavaScript-кода посредством вредоносных HTML-писем, что потенциально позволяет злоумышленникам захватывать пользовательские сессии и красть конфиденциальные данные в скомпрометированной среде Zimbra.
CISA добавило эту уязвимость в свой каталог уязвимостей, эксплуатируемых в реальных условиях, в среду и предоставило федеральным гражданским исполнительным органам (FCEB) две недели на защиту своих серверов до 1 апреля, как того требует Обязательная оперативная директива (BOD) 22-01, выпущенная в ноябре 2021 года.
Хотя BOD 22-01 распространяется только на федеральные учреждения, американское агентство по кибербезопасности призвало все организации, включая частный сектор, как можно скорее установить исправления для этой активно эксплуатируемой уязвимости.
«Применяйте меры по смягчению последствий в соответствии с инструкциями поставщика, следуйте применимым указаниям BOD 22-01 для облачных сервисов или прекратите использование продукта, если меры по смягчению последствий недоступны», — предупредило CISA. «Подобные уязвимости часто служат векторами атак для злонамеренных киберсубъектов и представляют значительный риск для федеральных систем».
Серверы Zimbra под атакой
Уязвимости безопасности Zimbra часто становятся мишенью атак, и в последние годы они использовались для взлома тысяч уязвимых почтовых серверов по всему миру.
Например, еще в июне 2022 года ошибки обхода аутентификации и удаленного выполнения кода в Zimbra использовались для взлома более 1000 серверов.
Начиная с сентября 2022 года хакеры использовали уязвимость нулевого дня в Zimbra Collaboration Suite, взломав почти 900 серверов в течение двух месяцев после получения возможности удаленного выполнения кода на скомпрометированных экземплярах.
Российская хакерская группировка Winter Vivern, спонсируемая государством, также использовала эксплойты отраженного XSS для взлома веб-почты правительств стран НАТО и почтовых ящиков государственных служащих, военнослужащих и дипломатов.
Совсем недавно злоумышленники использовали другую XSS-уязвимость Zimbra (CVE-2025-27915) в атаках нулевого дня для выполнения произвольного JavaScript-кода, что позволило им настраивать фильтры электронной почты для перенаправления сообщений на серверы, контролируемые злоумышленниками.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Sergiu Gatlan