Peretas mengeksploitasi cacat Zimbra sebagai zero-day menggunakan file icalendar

Peneliti yang memantau lampiran kalender .ics yang lebih besar menemukan bahwa cacat di Zimbra Collaboration Suite (ZCS) digunakan dalam serangan nol-hari pada awal tahun.

File ICS, juga dikenal sebagai file icalendar, digunakan untuk menyimpan kalender dan informasi penjadwalan (rapat, acara, dan tugas) dalam teks biasa, dan untuk menukarnya di antara berbagai aplikasi kalender.

Aktor ancaman mengeksploitasi CVE-2025-27915, kerentanan scripting lintas-situs (XSS) di ZCS 9.0, 10.0, dan 10.1, untuk mengirimkan muatan JavaScript ke sistem target.

Kerentanan berasal dari sanitasi yang tidak mencukupi konten HTML dalam file ICS, yang memungkinkan penyerang untuk menjalankan javascript sewenang -wenang dalam sesi korban, seperti pengaturan filter yang mengarahkan pesan ke mereka.

Zimbra membahas masalah keamanan Pada 27 Januari dengan merilis ZCS 9.0.0 P44, 10.0.13, dan 10.1.5, tetapi tidak menyebutkan aktivitas eksploitasi aktif.

Namun, para peneliti di StrikeReady, sebuah perusahaan yang mengembangkan platform operasi keamanan dan ancaman yang digerakkan oleh AI, menemukan serangan itu setelah mengawasi file .ics yang lebih besar dari 10kB dan termasuk kode JavaScript.

Mereka menentukan bahwa serangan telah dimulai pada awal Januari, sebelum Zimbra merilis tambalan.

Aktor ancaman itu menipu Kantor Protokol Angkatan Laut Libya dalam sebuah email yang memberikan eksploitasi nol hari yang menargetkan organisasi militer Brasil.

Email berbahaya berisi file ICS 00KB dengan file JavaScript yang dikaburkan menggunakan skema pengkodean base64.

Menurut Analisis PenelitiPayload dirancang untuk mencuri data dari Zimbra Webmail, seperti kredensial, email, kontak, dan folder bersama.

StrikeReady mengatakan bahwa kode berbahaya diimplementasikan untuk dieksekusi dalam mode asinkron dan ke berbagai ekspresi fungsi yang segera dipanggil (IIFE). Para peneliti menemukan bahwa mereka dapat melakukan tindakan berikut:

• Buat bidang nama pengguna/kata sandi tersembunyi
• Mencuri kredensial dari formulir login
• Pantau aktivitas pengguna (mouse dan keyboard) dan keluar dari pengguna yang tidak aktif untuk memicu pencurian
• Gunakan Zimbra Soap API untuk mencari folder dan mengambil email
• Kirim konten email ke penyerang (ulangi setiap 4 jam)
• Tambahkan filter bernama “Correo” untuk meneruskan email ke alamat proton
• Kumpulkan artefak otentikasi/cadangan ini dan eksfiltrasi mereka
• Kontak exfiltrate, daftar distribusi, dan folder bersama
• Tambahkan penundaan 60 detik sebelum eksekusi
• Menegakkan gerbang eksekusi 3 hari (hanya berjalan lagi jika ≥3 hari sejak lari terakhir)
• Sembunyikan elemen antarmuka pengguna (UI) untuk mengurangi petunjuk visual

StrikeReady tidak dapat mengaitkan serangan ini dengan kepercayaan tinggi dengan kelompok ancaman yang diketahui, tetapi mencatat bahwa ada sejumlah kecil penyerang yang dapat menemukan kerentanan nol hari dalam produk yang banyak digunakan, menyebutkan bahwa “kelompok terkait Rusia sangat produktif.”

Para peneliti juga menyebutkan bahwa taktik, teknik, dan prosedur (TTP) yang serupa telah diamati dalam serangan yang disebabkan oleh UNC1151 – kelompok ancaman yang Mandiant Terkait dengan Pemerintah Belarusia.

Laporan StrikeReady berbagi indikator kompromi dan versi deobfuscated dari kode JavaScript dari file calendar.

BleepingComputer telah menghubungi Zimbra dengan pertanyaan tentang kegiatan ini, dan kami akan memperbarui posting ini dengan pernyataan mereka setelah kami menerimanya.

Perbarui 10/6 – Seorang juru bicara Zimbra mengatakan kepada BleepingComputer bahwa berdasarkan data mereka, kegiatan eksploitasi tampaknya tidak tersebar luas.

Juga, perusahaan merekomendasikan agar pengguna mengambil langkah keamanan berikut:

1. Tinjau filter surat yang ada untuk perubahan yang tidak sah.
2. Pastikan instalasi Zimbra mereka diperbarui ke tambalan terbaru.
3. Periksa toko pesan untuk entri .ics yang dikodekan base64 dan monitor aktivitas jaringan untuk koneksi yang tidak biasa atau mencurigakan.