協作通訊平台 Zimbra Collaboration Suite (ZCS) 近期證實存在一個被積極利用的零日漏洞,該漏洞的特殊之處在於,駭客是透過看似無害的 iCalendar(ICS)日曆檔案進行攻擊。由於 Zimbra 在全球企業和組織中被廣泛應用,任何針對其核心功能(如日曆和電子郵件)的漏洞,都可能對用戶數據安全造成重大威脅。此事件突顯了在電子郵件和協作流程中,即使是標準的檔案交換格式也可能成為駭客入侵的通道。 ICS 文件,也稱為 iCalendar 文件,用於以純文字形式儲存日曆和日程安排資訊(會議、事件和任務),並在各種日曆應用程式之間交換。 研究人員對較大的 .ICS 日曆附件進行監控後發現,Zimbra Collaboration Suite (ZCS) 中的一個漏洞在今年年初被用於零日攻擊。開發人工智慧驅動的安全營運和威脅管理平台的公司 StrikeReady 的研究人員在密切關注大於 10KB 且包含 JavaScript 程式碼的 .ICS 檔案後發現了這次攻擊。 威脅行為者利用 ZCS 9.0、10.0 和 10.1 中的跨站點腳本 (XSS) 漏洞 CVE-2025-27915 將 JavaScript 負載傳遞到目標系統。這個漏洞源自於 ICS 檔案中 HTML 內容的清理不足,這使得攻擊者可以在受害者的會話中執行任意 JavaScript,例如設定將訊息重定向給他們的過濾器。Zimbra於 1 月 27 日發布了 ZCS 9.0.0 P44、10.0.13 和 10.1.5 來解決該安全問題。 StrikeReady 的分析顯示,攻擊活動至少從一月上旬就已開始,並觀察到駭客曾偽造利比亞海軍的身份,針對巴西軍事組織發送電子郵件,郵件中包含了一個被 Base64 編碼混淆的惡意 ICS 檔案。一旦在受害者會話中執行,這個 JavaScript 負載就會竊取 Zimbra Webmail 的敏感數據,包括登入憑證、電子郵件、聯絡人清單和共享資料夾等。攻擊負載甚至會利用 Zimbra 的 SOAP API 來設定名為「Correo」的郵件過濾器,將受害者的郵件副本轉發到攻擊者控制的信箱。 Zimbra 發言人於10/6告訴 BleepingComputer,根據他們的數據,這種攻擊活動似乎並不普遍。此外,該公司建議用戶採取以下安全措施: (1) 檢查現有的郵件過濾器是否有任何未經授權的變更。 (2) 確保他們的 Zimbra 安裝已更新到最新補丁。 (3) 檢查訊息儲存中是否有 Base64 編碼的 .ICS 條目,並監控網路活動是否有任何異常或可疑的連線。 雖然此次攻擊的歸屬尚未有高度確信的結論,但研究人員指出其攻擊策略與一些複雜的威脅組織(如 UNC1151)所採用的戰術有相似之處。因此,所有使用 Zimbra 的組織應立即遵循官方建議,將系統更新至已修復的版本,並執行徹底的安全審查,以防範潛在的數據洩露風險。
關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2025.10.07
威脅與風險/資安漏洞
駭客利用 iCalendar 檔案利用 Zimbra 漏洞進行零時差攻擊

協作通訊平台 Zimbra Collaboration Suite (ZCS) 近期證實存在一個被積極利用的零日漏洞,該漏洞的特殊之處在於,駭客是透過看似無害的 iCalendar(ICS)日曆檔案進行攻擊。由於 Zimbra 在全球企業和組織中被廣泛應用,任何針對其核心功能(如日曆和電子郵件)的漏洞,都可能對用戶數據安全造成重大威脅。此事件突顯了在電子郵件和協作流程中,即使是標準的檔案交換格式也可能成為駭客入侵的通道。

ICS 文件,也稱為 iCalendar 文件,用於以純文字形式儲存日曆和日程安排資訊(會議、事件和任務),並在各種日曆應用程式之間交換。 研究人員對較大的 .ICS 日曆附件進行監控後發現,Zimbra Collaboration Suite (ZCS) 中的一個漏洞在今年年初被用於零日攻擊。開發人工智慧驅動的安全營運和威脅管理平台的公司 StrikeReady 的研究人員在密切關注大於 10KB 且包含 JavaScript 程式碼的 .ICS 檔案後發現了這次攻擊。 威脅行為者利用 ZCS 9.0、10.0 和 10.1 中的跨站點腳本 (XSS) 漏洞 CVE-2025-27915 將 JavaScript 負載傳遞到目標系統。這個漏洞源自於 ICS 檔案中 HTML 內容的清理不足,這使得攻擊者可以在受害者的會話中執行任意 JavaScript,例如設定將訊息重定向給他們的過濾器。Zimbra於 1 月 27 日發布了 ZCS 9.0.0 P44、10.0.13 和 10.1.5 來解決該安全問題。

StrikeReady 的分析顯示,攻擊活動至少從一月上旬就已開始,並觀察到駭客曾偽造利比亞海軍的身份,針對巴西軍事組織發送電子郵件,郵件中包含了一個被 Base64 編碼混淆的惡意 ICS 檔案。一旦在受害者會話中執行,這個 JavaScript 負載就會竊取 Zimbra Webmail 的敏感數據,包括登入憑證、電子郵件、聯絡人清單和共享資料夾等。攻擊負載甚至會利用 Zimbra 的 SOAP API 來設定名為「Correo」的郵件過濾器,將受害者的郵件副本轉發到攻擊者控制的信箱。

Zimbra 發言人於10/6告訴 BleepingComputer,根據他們的數據,這種攻擊活動似乎並不普遍。此外,該公司建議用戶採取以下安全措施:

  1. 檢查現有的郵件過濾器是否有任何未經授權的變更。
  2. 確保他們的 Zimbra 安裝已更新到最新補丁。
  3. 檢查訊息儲存中是否有 Base64 編碼的 .ICS 條目,並監控網路活動是否有任何異常或可疑的連線。

雖然此次攻擊的歸屬尚未有高度確信的結論,但研究人員指出其攻擊策略與一些複雜的威脅組織(如 UNC1151)所採用的戰術有相似之處。因此,所有使用 Zimbra 的組織應立即遵循官方建議,將系統更新至已修復的版本,並執行徹底的安全審查,以防範潛在的數據洩露風險。


資料來源:https://www.bleepingcomputer.com/news/security/hackers-exploited-zimbra-flaw-as-zero-day-using-icalendar-files/
 
Zimbra Collaboration Suite 中一個跨站點腳本(XSS)零日漏洞 CVE-2025-27915,被駭客利用大型惡意 iCalendar 檔案發動攻擊,導致資料竊取和訊息重定向。