_zimbra - RunkIntel

# Zimbra > Software de colaboração · Sede: Frisco, Texas, EUA · Presença LATAM: Sim ## Mapa de Risco - Produtos, CVEs e Atores ```mermaid graph TB ZCS["Zimbra Collaboration Suite"] --> WEBMAIL["Classic UI Webmail"] ZCS --> API["API SOAP Backend"] ZCS --> ANTISPAM["AntiSpam ClamAV"] WEBMAIL --> CVE1["CVE-2025-66376 XSS stored CVSS 7.2"] WEBMAIL --> CVE2["CVE-2024-27443 XSS reflected CVSS 6.1"] WEBMAIL --> CVE3["CVE-2022-27926 XSS reflected CVSS 6.1"] API --> CVE4["CVE-2022-27925 RCE CVSS 7.2"] API --> CVE5["CVE-2022-37042 Auth Bypass CVSS 9.8"] CVE1 --> APT28["APT28 Fancy Bear"] CVE2 --> APT28 CVE3 --> WINTER["Winter Vivern TA473"] CVE5 --> APT29["APT29 Cozy Bear"] classDef vendor fill:#1a3a5c,color:#fff,stroke:#2980b9 classDef product fill:#2c3e50,color:#fff,stroke:#34495e classDef cve fill:#5a1a1a,color:#fff,stroke:#e74c3c classDef actor fill:#4a3a1a,color:#fff,stroke:#f39c12 class ZCS vendor class WEBMAIL,API,ANTISPAM product class CVE1,CVE2,CVE3,CVE4,CVE5 cve class APT28,WINTER,APT29 actor ``` ## Visão Geral **Zimbra** é uma plataforma de e-mail e colaboração empresarial de código aberto (open-core), desenvolvida inicialmente em 2003 e adquirida pela [[_synacor|Synacor]] em 2015. A suíte oferece funcionalidades de e-mail, calendário, agenda de contatos, mensagens instantâneas e armazenamento de documentos, posicionando-se como alternativa ao Microsoft Exchange e Google Workspace para organizações que preferem hospedagem local (on-premises) ou nuvem privada. O Zimbra é amplamente adotado por **agências governamentais, instituições educacionais e provedores de serviços de comunicação** ao redor do mundo, particularmente na Europa Oriental, América Latina, Oriente Médio e Ásia. Estima-se que centenas de milhões de usuários utilizem a plataforma, incluindo centenas de órgãos governamentais - o que a torna um alvo de alto valor para grupos de espionagem. **Dados do vendor:** - Tipo: Software vendor - e-mail e colaboração empresarial - Sede: Frisco, Texas, EUA (controlada pela Synacor) - Website: https://www.zimbra.com - Presença no Brasil/LATAM: Sim - adotado em universidades, prefeituras e órgãos públicos estaduais brasileiros - Principais setores atendidos: [[government|governo]], [[education|educação]], [[healthcare|saúde]], [[technology|tecnologia]] > [!warning] Aviso de Segurança > O Zimbra 10.0 atingiu **End-of-Life em 31/12/2025**. Organizações ainda na linha 10.0 não receberão patches de segurança. A CISA recomenda migração imediata para Zimbra 10.1 ou descontinuação do uso. ## Produtos  | Produto | Categoria | CVEs | Relevância CTI | |---------|-----------|------|---------------| | [[zimbra-collaboration-suite\|Zimbra Collaboration Suite]] | email | 5+ | Alvo recorrente de APT28, APT29, Winter Vivern via XSS | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", title AS "Produto", product-category AS "Categoria", length(cves-affecting) AS "CVEs" FROM "market/vendors/zimbra" WHERE type = "product" SORT length(cves-affecting) DESC ``` %% ## Timeline de Vulnerabilidades  | CVE | CVSS | Componente | Exploração | Data | |-----|------|------------|------------|------| | [[cve-2025-66376\|CVE-2025-66376]] | 7.2 | Classic UI (XSS stored) | Ativa - APT28, CISA KEV, Operation GhostMail | 2025-11 | | [[cve-2024-27443\|CVE-2024-27443]] | 6.1 | Webmail (XSS reflected) | Ativa - APT28, Operation RoundPress | 2024 | | [[cve-2022-37042\|CVE-2022-37042]] | 9.8 | Auth endpoint | Ativa - bypass + RCE, explorada em massa | 2022-08 | | [[cve-2022-27925\|CVE-2022-27925]] | 7.2 | REST API | Ativa - RCE via endpoint /service/extension/backup | 2022-03 | | [[cve-2022-27926\|CVE-2022-27926]] | 6.1 | launchNewWindow.jsp | Ativa - Winter Vivern, NATO targets | 2022-03 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", product AS "Produto", exploit-type AS "Exploração" FROM "vulnerabilities" WHERE contains(vendor, "Zimbra") SORT patch-date DESC ``` %% A [[cve-2025-66376|CVE-2025-66376]] representa o incidente mais recente e grave: uma XSS stored no Classic UI que permite execução de JavaScript arbitrário no contexto da sessão do usuário ao abrir um e-mail malicioso. O payload, sem anexos ou links suspeitos, extrai credenciais, tokens de sessão, códigos 2FA de backup, senhas salvas no navegador e todo o conteúdo da caixa de entrada dos últimos 90 dias - exfiltrando via DNS e HTTPS. O CISA adicionou ao KEV em março de 2026. A [[cve-2022-37042|CVE-2022-37042]], com CVSS 9.8, permitia bypass completo de autenticação e foi encadeada com a [[cve-2022-27925|CVE-2022-27925]] (RCE) para comprometer servidores Zimbra em escala global, incluindo instâncias governamentais no Azerbaijão, Itália e outros países. ## Uso por Atores de Ameaça O Zimbra se tornou um dos alvos mais consistentes de grupos de espionagem, especialmente operações russas: - [[g0007-apt28|APT28 / Fancy Bear]] - explorou [[cve-2025-66376|CVE-2025-66376]] na [[operation-ghostmail|Operation GhostMail]] (mar/2026) contra a Agência Estatal de Hidrografia da Ucrânia; também utilizou [[cve-2024-27443|CVE-2024-27443]] na [[operation-roundpress|Operation RoundPress]] (2024), campanha que visou entidades governamentais e de defesa no Leste Europeu, Africa e América do Sul - [[g0016-apt29|APT29 / Cozy Bear]] - atacou servidores Zimbra "em escala massiva" em outubro de 2024, conforme alerta conjunto dos EUA e Reino Unido, explorando vulnerabilidade de roubo de credenciais - [[g1035-winter-vivern|Winter Vivern (TA473)]] - utilizou [[cve-2022-27926|CVE-2022-27926]] (XSS reflected) a partir de fevereiro de 2023 para espionar organizações alinhadas com a OTAN, incluindo oficiais governamentais, militares e diplomatas > [!info] Operation RoundPress > A ESET documentou a campanha **Operation RoundPress** (APT28, 2023-2025) que expandiu do Roundcube para Zimbra, Horde e MDaemon, visando roubo de credenciais de contas de e-mail em entidades governamentais e empresas de defesa na Europa Oriental, Africa, Europa e **América do Sul**. Técnicas predominantes: [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing]], [[t1059-007-javascript|T1059.007 - JavaScript]], [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]], [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]]. ## Presença LATAM/Brasil O Zimbra possui adoção significativa no setor público brasileiro, especialmente em: - **Universidades federais e estaduais** - uso como plataforma de e-mail institucional open-source - **Prefeituras e municípios** - alternativa de baixo custo ao Microsoft Exchange - **Órgãos estaduais** - algumas secretarias e autarquias estaduais utilizam Zimbra A presença do Zimbra no setor governamental brasileiro eleva o risco de exposição a campanhas como a **Operation RoundPress** (APT28), que explicitamente visou governos na América do Sul. A largura da superfície de ataque via XSS em webmail é particularmente preocupante para organizações com ciclos lentos de patching. **Setores com maior adoção no Brasil:** - [[education|educação]] - universidades, institutos federais e CEFET's - [[government|governo]] - prefeituras, órgãos estaduais, autarquias - [[healthcare|saúde]] - hospitais universitários e secretarias de saúde **Risco LATAM:** O alerta da ESET sobre Operation RoundPress mencionou explicitamente governos na América do Sul como alvos. A combinação de ampla adoção no setor público + ciclos lentos de patching + EOL do Zimbra 10.0 (dez/2025) cria risco elevado na região. ## Advisories e Recursos - [Zimbra Security Advisories](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [CISA KEV - CVE-2025-66376](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Seqrite Labs - Operation GhostMail](https://www.seqrite.com/blog/operation-ghostmail-zimbra-xss-russian-apt-ukraine/) - [ESET - Operation RoundPress](https://www.welivesecurity.com/) ## Notas Relacionadas **CVEs:** [[cve-2025-66376|CVE-2025-66376]] · [[cve-2024-27443|CVE-2024-27443]] · [[cve-2022-37042|CVE-2022-37042]] · [[cve-2022-27925|CVE-2022-27925]] · [[cve-2022-27926|CVE-2022-27926]] **Campanhas:** [[operation-ghostmail|Operation GhostMail]] · [[operation-roundpress|Operation RoundPress]] **Atores:** [[g0007-apt28|APT28 / Fancy Bear]] · [[g0016-apt29|APT29 / Cozy Bear]] · [[g1035-winter-vivern|Winter Vivern (TA473)]] **TTPs:** [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing]] · [[t1059-007-javascript|T1059.007 - JavaScript]] · [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] · [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] **Setores:** [[government|governo]] · [[education|educação]] · [[healthcare|saúde]]