Une vulnérabilité de sécurité désormais corrigée dans Zimbra Collaboration a été exploitée comme une faille zero-day plus tôt cette année dans des cyberattaques ciblant l’armée brésilienne.

Suivie comme CVE-2025-27915 (score CVSS : 5,4), la vulnérabilité est une vulnérabilité de script intersite (XSS) stockée dans le client Web classique qui survient à la suite d’une désinfection insuffisante du contenu HTML dans les fichiers de calendrier ICS, entraînant l’exécution de code arbitraire.

« Lorsqu’un utilisateur consulte un message électronique contenant une entrée ICS malveillante, son JavaScript intégré s’exécute via un événement ontoggle à l’intérieur d’une balise <details> », selon une description de la faille dans la base de données nationale des vulnérabilités du NIST (NVD).

Cela permet à un attaquant d’exécuter du JavaScript arbitraire dans la session de la victime, ce qui peut entraîner des actions non autorisées, comme la configuration de filtres de messagerie pour rediriger les messages vers une adresse contrôlée par l’attaquant. Ainsi, un attaquant peut effectuer des actions non autorisées sur le compte de la victime, notamment la redirection de messagerie et l’exfiltration de données.

La vulnérabilité a été corrigée par Zimbra dans le cadre des versions 9.0.0 Patch 44 , 10.0.13 et 10.1.5 publiées le 27 janvier 2025. L’avis ne mentionne cependant pas qu’elle ait été exploitée dans des attaques réelles.

Cependant, selon un rapport publié par StrikeReady Labs le 30 septembre 2025, l’activité observée dans la nature impliquait des acteurs de menaces inconnus usurpant l’identité du Bureau du protocole de la marine libyenne pour cibler l’armée brésilienne à l’aide de fichiers ICS malveillants qui exploitaient la faille.

Le fichier ICS contenait un code JavaScript conçu pour voler des données de manière exhaustive et détourner les identifiants, les e-mails, les contacts et les dossiers partagés vers un serveur externe (« ffrk[.]net »). Il recherche également les e-mails dans un dossier spécifique et ajoute des règles de filtrage Zimbra malveillantes nommées « Correo » pour transférer les messages à spam_to_junk@proton.me.

Afin d’éviter d’être détecté, le script est conçu de manière à masquer certains éléments de l’interface utilisateur et à ne se déclencher que si plus de trois jours se sont écoulés depuis la dernière fois qu’il a été exécuté.

On ne sait pas encore clairement qui se cache derrière l’attaque, mais plus tôt cette année, ESET a révélé que l’acteur de menace russe connu sous le nom d’APT28 avait exploité des vulnérabilités XSS dans diverses solutions de messagerie Web de Roundcube, Horde, MDaemon et Zimbra pour obtenir un accès non autorisé.

Un modus operandi similaire a également été adopté par d’autres groupes de pirates informatiques comme Winter Vivern et UNC1151 (alias Ghostwriter) pour faciliter le vol d’informations d’identification.