На початку року хакери експлуатували zero-day уразливість CVE-2025-27915 у Zimbra Collaboration Suite, використовуючи файли .ICS. Це дозволило їм впроваджувати шкідливий JavaScript і викрадати дані з електронної пошти, контактів і спільних папок користувачів.
Дослідники компанії StrikeReady виявили атаку, коли відстежували великі iCalendar-файли (понад 10 КБ), що містили JavaScript-код. Уразливість XSS у версіях ZCS 9.0, 10.0 та 10.1 дозволила зловмисникам обійти перевірку HTML-контенту в ICS-файлах і виконувати скрипти безпосередньо у сесії користувача.
Після відкриття атаки фахівці з’ясували, що вона розпочалася ще в січні 2025 року, коли Zimbra ще не випустила патч. Зловмисники видавали себе за Протокольне управління ВМФ Лівії, надсилаючи підроблені запрошення з уразливими вкладеннями. Шкідливий код, зашифрований у Base64, викрадав логіни, електронні листи, контакти та пересилав їх на ProtonMail-адресу хакерів. Програма також могла створювати приховані поля паролів, зчитувати дії користувача, автоматично виводити з акаунту неактивних осіб і встановлювати фільтри для переспрямування пошти.
Zimbra випустила оновлення 27 січня 2025 року, яке закрило діру у безпеці. Проте тоді компанія не повідомила про фактичну експлуатацію. StrikeReady припускає, що атаку могли провести досвідчені групи, подібні до UNC1151, які раніше пов’язували з урядом Білорусі.
Постраждалі організації, серед яких військові структури Бразилії, отримали рекомендації:
перевірити наявні фільтри у пошті,
оновити Zimbra до останньої версії,
відстежити мережеву активність і виявити Base64-закодовані ICS-файли.
Цей інцидент вкотре підтверджує, що навіть звичні офісні файли — як-от календарні запрошення — можуть стати каналом проникнення. Важливо своєчасно оновлювати ПЗ та контролювати вкладення, що потрапляють у корпоративну пошту.
Хакери використали уразливість у Zimbra Collaboration Suite (CVE-2025-27915) через файли iCalendar (.ICS), щоб виконати JavaScript-код і викрасти дані користувачів. Компанія StrikeReady повідомила про атаку на військові структури, а Zimbra випустила оновлення, що усуває вразливість. Інцидент підкреслює важливість своєчасного патч-менеджменту та моніторингу електронної пошти для виявлення підозрілих ICS-файлів.
