Americká agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) vydala urgentné upozornenie týkajúce sa aktívne zneužívanej zero-day zraniteľnosti v Zimbra Collaboration Suite (ZCS). Zraniteľnosť, označená ako CVE-2025-27915, je chyba typu cross-site scripting (XSS), ktorá ovplyvňuje klasického webového klienta ZCS (Classic Web Client).
Bezpečnostná diera je už zneužívaná „v teréne“, preto ju CISA pridala do svojho katalógu známych zneužívaných zraniteľností (Known Exploited Vulnerabilities – KEV) a odporúča administrátorom okamžite konať.
Technické podrobnosti o CVE-2025-27915
Zraniteľnosť vzniká v dôsledku nedostatočného čistenia HTML obsahu v súboroch iCalendar (ICS), keď sa otvárajú cez Classic Web Client v Zimbre. Konkrétne ju možno zneužiť, keď útočník vloží škodlivý JavaScript do atribútu ontoggle v ICS súbore. Ak používateľ otvorí takto upravenú pozvánku, skript sa vykoná v rámci jeho relácie, bez akejkoľvek ďalšej interakcie.
Toto vykonanie dáva útočníkovi rovnaké oprávnenia ako obeť, čím dochádza k kompromitácii účtu. Po zneužití môže útočník napríklad meniť emailové filtre, presmerovať správy na svoje adresy, exfiltrovať citlivé dáta, alebo vykonávať iné neoprávnené akcie v mene používateľa.
Zraniteľnosť má v systéme CVSS skóre 7,5, čo ju radí medzi vysoko závažné problémy.
Rozsah dopadu
Zasiahnuté sú všetky podporované verzie Zimbra Collaboration Suite, ktoré používajú Classic Web Client. Pretože na zneužitie stačí otvoriť upravený e-mail alebo pozvánku, ide o ideálny vektor pre phishingové útoky. Táto nízka náročnosť zneužitia zvyšuje riziko, najmä vo firmách, ktoré Zimbru používajú ako hlavný komunikačný nástroj.
Hoci zatiaľ neboli verejne identifikované žiadne ransomvérové skupiny, ktoré by túto chybu využívali, jej vlastnosti z nej robia vhodný cieľ pre cielené kampane, najmä tie, ktoré sa spoliehajú na emailové útoky.
Reakcia CISA a odporúčania
CISA stanovila termín do 28. októbra 2025, do ktorého musia federálne agentúry túto zraniteľnosť riešiť. Medzi jej odporúčania patria:
- Skontrolovať a čo najskôr aplikovať záplaty alebo dočasné riešenia, ktoré poskytne výrobca.
- Riadit sa odporúčaniami Cloud Security Technical Reference Architecture podľa Binding Operational Directive (BOD) 22-01, najmä pri cloudových nasadeniach ZCS.
- Ak nie sú k dispozícii záplaty, administrátori by mali zvážiť vypnutie Classic Web Clienta alebo pozastavenie prevádzky zasiahnutých Zimbra serverov, kým nebude dostupná oficiálna oprava.
- Monitorovať logy na prítomnosť nezvyčajnej aktivity, ako sú zmeny emailových filtrov alebo zneužitie ICS súborov. Akékoľvek náznaky kompromitácie je potrebné okamžite riešiť ako vysokoprioritný incident.
Reakcia výrobcu a odvetvia
Spoločnosť Zimbra (vyvíjaná firmou Synacor) zatiaľ nevydala verejné vyhlásenie so špecifickou opravou v čase vydania upozornenia CISA. Organizácie sú preto vyzvané, aby sledovali oznámenia výrobcu. Absencia okamžitej záplaty robí dočasné opatrenia o to dôležitejšími.
Táto zraniteľnosť spadá pod Common Weakness Enumeration (CWE-79) – teda nesprávnu neutralizáciu vstupu pri generovaní webovej stránky (cross-site scripting). Ide o jednu z najčastejšie zneužívaných chýb vo webových aplikáciách, často používanú na únos používateľských relácií alebo vykonávanie neoprávnených akcií.
Viac informácií tu:
https://thecyberexpress.com/zimbra-zcs-flaw-cve-2025-27915
https://thehackernews.com/2025/10/zimbra-zero-day-exploited-to-target.html