Cve-2025-66376

Hackers do grupo APT28, vinculado ao serviço de inteligência militar da Rússia (GRU), estão explorando uma vulnerabilidade crítica no Zimbra Collaboration Suite (ZCS) para atacar entidades governamentais da Ucrânia. A falha de segurança, identificada como CVE-2025-66376, foi corrigida em novembro e permite que atacantes não autenticados realizem execução remota de código (RCE) através de um ataque de cross-site scripting (XSS) armazenado. A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA incluiu essa vulnerabilidade em seu catálogo de falhas ativamente exploradas e ordenou que agências federais protegessem seus servidores em um prazo de duas semanas. Os ataques, que utilizam e-mails de phishing, têm como alvo instituições críticas, como a Agência Estatal de Hidrologia da Ucrânia. Os hackers enviam mensagens que contêm um payload JavaScript ofuscado, que, ao ser aberto, coleta credenciais e dados sensíveis do usuário. A vulnerabilidade do Zimbra tem sido frequentemente alvo de grupos patrocinados pelo Estado russo, com um histórico de exploração em larga escala. A situação destaca a necessidade urgente de medidas de segurança para proteger sistemas vulneráveis, especialmente em um contexto de crescente atividade cibernética hostil.

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) emitiu uma ordem para que agências governamentais dos EUA protejam seus servidores contra uma vulnerabilidade ativamente explorada no Zimbra Collaboration Suite (ZCS), identificada como CVE-2025-66376. Essa falha de segurança, classificada como de alta severidade, resulta de uma vulnerabilidade de cross-site scripting (XSS) armazenada na interface Classic UI, permitindo que atacantes remotos não autenticados executem JavaScript arbitrário através de e-mails HTML maliciosos. A CISA deu um prazo de duas semanas para que as agências federais implementem correções, conforme a Diretiva Operacional Vinculante (BOD) 22-01. Embora a BOD se aplique apenas a agências federais, a CISA recomendou que todas as organizações, incluindo as do setor privado, realizem a correção dessa falha. O Zimbra já foi alvo de ataques anteriores, com hackers explorando vulnerabilidades para comprometer milhares de servidores de e-mail globalmente. A situação destaca a necessidade urgente de ações de mitigação para evitar possíveis sequestros de sessões e roubo de dados sensíveis.