Эксплойт уязвимости нулевого дня в Zimbra для атаки на бразильские военные через вредоносные ICS-файлы

Zimbra только что исправила CVE-2025-27915 — серьезную уязвимость XSS, которая была использована как уязвимость нулевого дня для атаки на бразильские военные. Злоумышленники проникли через вредоносные ICS-файлы, превратив электронную почту в бэкдор. Это не просто очередная ошибка; это целевая операция с реальными геополитическими последствиями.

Цепочка эксплуатации изящна: создайте ICS-файл (вы знаете, те приглашения в календарь), внедрите вредоносные скрипты, и бум — межсайтовый скриптинг позволяет злоумышленникам захватывать сессии, красть учетные данные и эксфильтрировать данные. Веб-клиент Zimbra стал невольным мулом.

Бразильские военные организации были специально выбраны — подумайте о стратегических коммуникациях, графиках развертывания, возможно, даже о классифицированной информации. Злоумышленники точно знали, кого атаковать и как слиться с фоном. Это не разбросанная атака; это хирургическая операция.

Zimbra выпустила патч, так что если вы используете их пакет, обновите СЕЙЧАС. CVE-2025-27915 помечен как критический — неаутентифицированное удаленное выполнение кода через XSS в обработке календаря. Учетные данные не нужны, только отравленное приглашение.

Вывод? Почтовые клиенты по-прежнему являются основной поверхностью атаки. Если вы работаете в сфере обороны, правительства или любого другого высокоценного сектора, считайте, что ваш календарь — это вектор угрозы. Устанавливайте патчи, отслеживайте и, возможно, не нажимайте на это «обязательное учебное» приглашение от неизвестного отправителя.