zimbra - RunkIntel

# Zimbra Collaboration Suite > [!warning] Plataforma de Email Alvo Persistente de APTs e Ransomware > Zimbra Collaboration Suite (ZCS) é uma plataforma de email e colaboração empresarial da Synacor com histórico consistente de vulnerabilidades XSS, LFI e RCE exploradas ativamente. Em 2026, o [[cve-2025-66376|CVE-2025-66376]] foi adicionado ao KEV da CISA após exploração em campanha russa contra a Ucrânia. ## Visão Geral Zimbra Collaboration Suite (ZCS) é uma plataforma de email, calendário e colaboração amplamente adotada por organizações governamentais, empresas e provedores de serviços em todo o mundo. Desenvolvida pela Synacor, a plataforma acumula um histórico preocupante de vulnerabilidades de segurança que têm sido consistentemente exploradas por atores de ameaça de diversas origens. A arquitetura do Zimbra - combinando servidor de email, webmail, calendário e infraestrutura de identidade em uma única plataforma acessível pela internet - cria uma superfície de ataque significativa. Vulnerabilidades XSS (Cross-Site Scripting) são particularmente perigosas neste contexto porque a webmail processa conteúdo não confiável (emails de remetentes externos) no contexto de uma sessão autenticada. Em março de 2026, a CISA adicionou o [[cve-2025-66376|CVE-2025-66376]] ao catálogo KEV após a Seqrite Labs documentar a Operation GhostMail - uma campanha de espionagem russa contra a State Hydrographic Service da Ucrânia. A campanha demonstrou exploração sofisticada: um email de phishing com JavaScript obfuscado diretamente no corpo HTML, sem anexos ou links, que executa no contexto da sessão Zimbra da vítima e exfiltra credenciais, tokens de sessão, códigos 2FA e conteúdo de 90 dias de emails. O padrão "Operation RoundPress" - série de campanhas russas usando XSS em webmail para comprometer organizações ucranianas - continuou com o GhostMail, evidênciando a preferência de atores estatais por vulnerabilidades em plataformas de colaboração que permitem espionagem sem malware binário detectável. ## Histórico de Vulnerabilidades Críticas ```mermaid graph TB subgraph 2023 CVE37580["CVE-2023-37580 XSS Classic UI Google TAG reportou"] CVE34192["CVE-2023-34192 Stored XSS Critical"] end subgraph 2024 CVE45515["CVE-2024-45515 XSS via Briefcase Medium"] CVE33535["CVE-2024-33535 LFI Admin UI Unauthenticated"] end subgraph 2025-2026 CVE68645["CVE-2025-68645 LFI RestFilter KEV Jan 2026"] CVE66376["CVE-2025-66376 XSS CSS import KEV Mar 2026 - Ativo"] end CVE37580 --> CVE45515 CVE45515 --> CVE68645 CVE68645 --> CVE66376 ``` *CVEs: [[cve-2025-66376|CVE-2025-66376]] · [[cve-2025-68645|CVE-2025-68645]] · [[cve-2023-37580|CVE-2023-37580]]* ## Técnicas de Exploração Documentadas | CVE | Tipo | CVSS | Vetor de Exploração | Status | |-----|------|------|---------------------|--------| | [[cve-2025-66376\|CVE-2025-66376]] | XSS Stored | 7.2 | CSS @import em email HTML | KEV ativo | | [[cve-2025-68645\|CVE-2025-68645]] | LFI | 8.8 | RestFilter servlet não autenticado | KEV | | [[cve-2023-37580\|CVE-2023-37580]] | XSS Reflected | 6.1 | URL especialmente formatada | Patcheado | | [[cve-2022-45912\|CVE-2022-45912]] | RCE | 7.2 | ClientUploader - admin autenticado | Patcheado | ## Operation GhostMail - Técnica de Exploração ```mermaid graph TB A["📧 Email de Phishing Remetente comprometido - academia policial"] --> B["📬 Abertura no Zimbra Classic UI do governo ucraniano"] B --> C["🔥 CVE-2025-66376 CSS @import executa JavaScript obfuscado"] C --> D["🍪 Roubo de Sessao Session tokens, cookies, 2FA codes"] D --> E["📧 Exfiltração de Email 90 dias de historico de mensagens"] E --> F["🔑 Credenciais Roubadas Senhas, recovery codes"] F --> G["📤 Exfiltração Dupla DNS e HTTPS para C2 russo"] ``` *Contexto: Operation GhostMail · Atribuição: APT russo* ## Técnicas MITRE ATT&CK (Exploração) | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1190 | Exploit Public-Facing | Acesso Inicial | Exploração de vulnerabilidades em Zimbra exposto | | T1059.007 | JavaScript | Execução | JavaScript malicioso via XSS no webmail | | T1539 | Steal Web Session Cookie | Credenciais | Roubo de session tokens via XSS | | T1114.002 | Remote Email Collection | Coleta | Exfiltração de histórico de 90 dias de email | | T1041 | Exfiltration Over C2 | Exfiltração | Dupla exfiltração DNS e HTTPS | | T1071 | Application Layer | C2 | HTTP/HTTPS para exfiltração | ## Grupos que Exploram Zimbra - APTs russos: Operation RoundPress, Operation GhostMail (espionagem Ucrânia) - Grupos de ransomware via vulnerabilidades RCE em versões antigas - Atores oportunistas usando exploits públicos disponíveis para CVEs sem patch ## Detecção e Defesa **Indicadores para CVE-2025-66376:** - Email contendo CSS `@import` no corpo HTML - Requisições JS inesperadas durante visualização de email - Acesso incomum a endpoints de sessão/autenticação - Exfiltração DNS para domínios não usuais após abertura de email **Mitigações recomendadas:** - Atualizar imediatamente para versões 10.1.13 ou 10.0.18 (patch CVE-2025-66376) - Migrar de versão 10.0 (EOL desde dezembro 2025) - Desabilitar Classic UI se não necessário - Implementar CSP (Content Security Policy) para restringir recursos externos - Monitorar requisições HTTP iniciadas durante sessão webmail - [[m1016-vulnerability-scanning|Varredura de vulnerabilidades]] regular em instâncias Zimbra expostas ## Referências - [1](https://thehackernews.com/2026/03/cisa-warns-of-zimbra-sharepoint-flaw.html) The Hacker News - CISA Warns of Zimbra CVE-2025-66376 (2026) - [2](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) Zimbra - Security Advisories (2026) - [3](https://www.cryptika.com/cisa-warns-of-zimbra-collaboration-suite-vulnerability-exploited-in-attacks/) CISA - CVE-2025-66376 KEV Entry (2026) - [4](https://beazley.security/alerts-advisories/critical-vulnerability-in-zimbra-webmail-CVE-2025-68645) Beazley Security - CVE-2025-68645 LFI Analysis (2026) - [5](https://nvd.nist.gov/vuln/detail/CVE-2025-66376) NVD - CVE-2025-66376 Details (2025)