Passa ai contenuti principali

Zimbra, lo zero-day nelle .ICS che ha preso di mira il mondo reale

Nei primi mesi del 2025 è stato scoperto e sfruttato in attacchi mirati un difetto di sicurezza nel client web “Classic” di Zimbra Collaboration: la vulnerabilità è stata tracciata come CVE-2025-27915 e consiste in una forma di Stored Cross-Site Scripting (XSS) legata al modo in cui Zimbra gestisce e renderizza il contenuto HTML presente in file iCalendar (.ICS). Il bug è stato impiegato in campagne che, secondo i primi report, hanno preso di mira organizzazioni sensibili (tra cui forze armate in Brasile) utilizzando calendari iCalendar appositamente costruiti per far eseguire codice nel contesto della sessione dell’utente.

Tecnicamente l’exploit sfrutta la scarsa sanitizzazione del contenuto HTML contenuto in un file .ICS: quando il web client Classic importa o visualizza l’evento del calendario, porzioni di HTML malevolo inserite nell’ICS non vengono filtrate correttamente e finiscono per essere eseguite nel browser della vittima come se fossero parte dell’interfaccia di Zimbra. Questo tipo di stored XSS si manifesta quando il payload fornito dall’attaccante viene memorizzato su server (qui: come parte dell’evento calendario) e poi servito a utenti legittimi, con la conseguenza che, aprendo o visualizzando l’evento, il browser esegue script sotto il dominio di Zimbra: da lì è possibile rubare cookie di sessione, token di autenticazione, esfiltrare contenuti visualizzati dall’utente o compiere azioni a nome della vittima all’interno dell’applicazione web.

Alcune fonti tecniche e i database di vulnerabilità classificano CVE-2025-27915 con un punteggio CVSS di gravità media (intorno a 5.4) e sottolineano che il vettore d’attacco principale è l’upload o l’invio di file .ICS contenenti payload HTML/script. Zimbra ha pubblicato e rilasciato patch che rafforzano la sanitizzazione degli input nel Classic Web Client e raccomanda l’aggiornamento alle release correttive indicate nelle note di sicurezza del progetto; molte organizzazioni hanno quindi dovuto porre in atto misure reattive per bloccare ulteriori tentativi di sfruttamento.

Dal punto di vista operativo, l’attacco tipico osservato dagli analisti segue questa catena: l’attaccante crea un evento iCalendar malevolo contenente HTML/script e lo invia o lo pubblica sul server Zimbra bersaglio (spesso via mail o attraverso calendari condivisi); l’evento viene memorizzato dal server; un utente legittimo apre o visualizza il calendario nel Classic Web Client e il payload viene eseguito nel suo browser; infine l’attaccante raccoglie credenziali, token, o effettua azioni impersonando l’utente compromesso. In alcuni report iniziali si segnala che gli operatori hanno impiegato proprio la funzionalità di importazione/anteprima dei calendari per raggiungere le vittime.

Quindi aggiornare Zimbra alla versione che contiene la correzione indicata dall’azienda; disabilitare temporaneamente il Classic Web Client se la vostra infrastruttura lo consente; bloccare o ispezionare gli allegati .ICS in ingresso a livello di gateway email o proxy web; applicare regole WAF per filtrare payload sospetti nelle richieste verso l’interfaccia web di Zimbra; monitorare i log per accessi anomali o per richieste che includano contenuti .ICS di dimensioni o strutture inconsuete; e infine considerare la rotazione dei token e delle sessioni per gli utenti potenzialmente esposti. Le stesse note ufficiali e gli avvisi dei CERT locali raccomandano la rapida applicazione degli aggiornamenti.

Dal punto di vista di rilevamento e risposta: cercate indicatori come file .ICS non attesi, eventi calendario con campi DESCRIPTION o ATTACH che contengono tag HTML/script, richieste POST/PUT verso endpoint calendar con payload insoliti, e attività di web session che eseguono azioni non riconducibili al normale comportamento degli utenti. È utile eseguire scansioni passive del traffico web per individuare referer o user agent anomali che mostrino tentativi di invio massivo di calendari, e utilizzare strumenti di EDR e SIEM per correlare eventuali prime fasi di esfiltrazione con l’accesso via webmail.

Mantenere aggiornati i server di posta e collaborazione è fondamentale, ma serve anche una strategia multilivello che includa controllo degli allegati, hardening delle interfacce web, regole WAF mirate e sensibilizzazione degli utenti su file e inviti calendar non attesi. Se gestite server Zimbra, verificate immediatamente le versioni del vostro deployment e applicate le patch pubblicate; se operate in ambito difesa o infrastrutture critiche, trattate questo incidente come alta priorità di sicurezza e procedete anche con analisi forense delle macchine e rotazione di credenziali qualora sia stata rilevata attività sospetta.
Tag:

Commenti

Posta un commento

Popolari

Attenzione all’Android Spyware che si spaccia per Signal

Negli ultimi mesi i ricercatori di sicurezza hanno scoperto campagne di spyware per Android che si travestono da versioni potenziate di applicazioni di messaggistica come Signal o ToTok, con l’obiettivo di ingannare gli utenti e ottenere il pieno controllo dei loro dispositivi. Due delle famiglie più attive sono state identificate come ProSpy e ToSpy e colpiscono in particolare nei Paesi del Golfo, con focus sul Medio Oriente e sugli Emirati Arabi Uniti. Queste app malevole non si trovano sugli store ufficiali ma vengono distribuite tramite siti creati ad arte che imitano plugin o release legittime con nomi come “Signal Encryption Plugin” o “ToTok Pro”. Una volta installate, richiedono permessi invasivi come l’accesso a contatti, SMS e file multimediali ed esfiltrano i dati silenziosamente. Per rafforzare l’illusione di autenticità, dopo la prima interazione l’utente viene spesso reindirizzato al sito ufficiale o all’app originale, mentre in altri casi l’icona del malware si maschera d...
Posta un commento
Continua a leggere »

Oyster e il malvertising, fake installer di Microsoft Teams diffonde una backdoor

Negli ultimi giorni è emersa una nuova ondata di malvertising e SEO poisoning che punta a intercettare chi cerca il client Microsoft Teams sui motori di ricerca, reindirizzando gli utenti verso annunci o pagine di download fasulle che offrono un installatore contraffatto invece dell’app ufficiale. Secondo le prime segnalazioni, il file distribuito in queste pagine malevole è un installer camuffato che installa la backdoor nota come Oyster (anche indicata in passato come Broomstick/CleanUpLoader), dando agli aggressori un punto d’accesso remoto sui sistemi compromessi. A confermare la dinamica sono multiple realtà che monitorano la minaccia: Blackpoint SOC ha descritto la campagna come basata su SEO poisoning e annunci malvertising che spingono download ingannevoli, mentre analisti di settore e vendor hanno trovato varianti del loader ospitate su domini compromessi o su pagine generate appositamente per mimare download legittimi. Il malware viene spesso confezionato in installer Windows...
Posta un commento
Continua a leggere »

Giappone senza birra, un cyberattacco congela i rubinetti dell’Asahi

Immagina l’Italia senza vino per una settimana o la Germania senza birra: un black-out digitale, un semplice attacco informatico, potrebbe rendere improvvisamente irreale quella situazione. Ebbene, in Giappone sta accadendo qualcosa di simile: l’azienda Asahi, uno dei maggiori produttori di birra e bevande del Paese, è stata colpita da un cyberattacco che ha paralizzato i suoi sistemi, sospendendo ordini, spedizioni e servizi clienti su scala nazionale. L’attacco, iniziato il 29 settembre secondo fonti aziendali, è stato identificato come ransomware: per evitare che il danno peggiorasse, Asahi ha isolato i server colpiti, avviando un’indagine interna e collaborando con esperti esterni. I sistemi di ordinazione automatica e di logistica sono al momento fuori uso, tanto che l’azienda ha iniziato a elaborare manualmente alcune consegne, ma sta dando priorità a cibi e bevande analcoliche: per la birra, al momento, molte richieste sono fermate.  Il risultato? Nelle ultime ore, ristora...
Posta un commento
Continua a leggere »