Vulnerabilidade zero-day na Zimbra deixou Exército Brasileiro exposto a hackers

Uma vulnerabilidade zero-day na Zimbra Collaboration, ferramenta que integra e-mail, calendários, chats e compartilhamento de arquivos, levou a ciberataques às instituições militares brasileiras em 2025. A falha, identificada como CVE-2025-27915, estava relacionada aos scripts entre sites (XSS) no Classic Web Client: a falta de revisão no conteúdo HTML dos arquivos ICS, de calendário, deixava qualquer código ser executado no local.

• O que é uma vulnerabilidade de dia zero (Zero-Day)?
• O que é phishing e como se proteger?

O problema dia zero já foi corrigido com patches, mas, enquanto ativo, fazia com que um usuário que visualizasse e-mails contendo ICS malicioso executasse JavaScript embutido em um evento ontoggle dentro da tag [<] details [>].

A brecha foi descrita na Base de Dados Nacional de Vulnerabilidades do NIST (NVD), dos Estados Unidos.

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Ataque aos militares brasileiros e correção

Segundo a descrição da NVD, a possibilidade de rodar códigos JavaScript deixava a vítima vulnerável a ações não-autorizadas, como a modificação de filtros de e-mail para redirecionar as mensagens a endereços controlados pelos criminosos. Assim, dados podiam ser roubados, levando mensagens e informações sensíveis a servidores maliciosos.

A Zimbra corrigiu a brecha dia zero  nas versões do Patch 44 9.0.0, 10.0.13 e 10.1.5, lançadas em 27 de janeiro deste ano. Não há relatos de ataques que tenham explorado a brecha e afetado diretamente as instituições brasileiras, mas é possível que a exposição tenha levado dados a serem usados em ataques futuros.

Segundo um relatório da StrikeReady Labs, publicado na última terça-feira (30), houve atividade envolvendo atores desconhecidos imitando o Escritório Protocolar da Marinha da Líbia em tentativas de hackear militares brasileiros através de arquivos ICS maliciosos.

O arquivo continha um código JavaScript desenhado para agir como um ladrão de dados, encaminhando credenciais, contatos, e-mails e arquivos compartilhados a um servidor externo (ffrk.net), também buscando e-mails em arquivos específicos. O malware também adicionava filtros de e-mail no Zimbra com o nome “Correo”, encaminhando mensagens para o endereço spam_to_junk@proton.me.

Para escapar de detecções, o script fazia o vírus esconder elementos da interface e só agir após terem passado três dias desde a última execução. Os responsáveis pela ação são desconhecidos, mas a ESET, há poucos meses, revelou que os hackers russos do grupo APT28 exploraram vulnerabilidades XSS em vários clientes de e-mail, como Roundcube, Horde, MDaemon e Zimbra, sendo uma pista importante.

Veja também:

• O que é Engenharia Social? Aprenda a identificar e se proteger de golpes
• Criptografia para iniciantes: o que é e por que é importante?
• O que é firewall e como ele funciona?

VÍDEO | Quais os riscos de manter minha rede wireless aberta? [CT Responde]

Fonte: StrikeReady, NVD