Более 10,5 тысяч серверов Zimbra остаются уязвимы к перехвату почты
Свыше 10,5 тыс. доступных из интернета серверов Zimbra остаются не обновленными и подвержены XSS-атаке через CVE-2025-48700. Эта уязвимость позволяет встроить вредоносный JavaScript в письмо и выполнить его при открытии в веб-интерфейсе. Уязвимость уже используется в реальных атаках и включена в каталог активно эксплуатируемых CISA. На этом фоне вновь поднимается тема атак на Zimbra, которые ранее использовались против украинских организаций.
Более 10,5 тыс. серверов Zimbra Collaboration — корпоративной почтовой системы с веб-доступом к почте и календарям — остаются доступными из интернета и не обновлены, показывают данные мониторинга Shadowserver.
Наибольшее число таких систем зафиксировано в Азии и Европе. Проблема связана с уязвимостью CVE-2025-48700 в веб-интерфейсе Zimbra. Она позволяет встроить вредоносный JavaScript в содержимое письма и выполнить его в сессии пользователя при открытии сообщения. В результате злоумышленник может перехватить данные сессии или получить доступ к почтовому ящику.
Исправления для этой ошибки были выпущены еще в июне 2025 года, однако значительное число систем по-прежнему остается без обновлений, что подтверждают данные. Основная причина — задержки с установкой патчей и эксплуатация устаревших версий почтовых серверов. Уязвимость используется в атаках: CISA внесла CVE-2025-48700 в каталог Known Exploited Vulnerabilities и обязала федеральные ведомства США устранить ее в сжатые сроки.
Подобные атаки привлекают повышенное внимание на фоне предыдущих кампаний против Zimbra. Ранее XSS-уязвимость CVE-2025-66376 использовалась в целевых атаках на украинские организации. В рамках этой кампании злоумышленники отправляли письма с внедренным вредоносным кодом, который выполнялся при открытии сообщения в веб-клиенте. Атака не требовала перехода по ссылкам или открытия вложений — вредоносный код находился непосредственно в теле письма. После выполнения он мог собирать учетные данные, токены сессий и содержимое почтового ящика, включая письма за предыдущие месяцы, следует из анализа.
По оценке исследователей, за атаками может стоять группировка APT28. В числе целей — государственные и инфраструктурные организации Украины. SecPost также ранее писал о схожих атаках через Zimbra на украинские госструктуры. В них тоже использовалась модель, при которой вредоносный код встраивается в письмо и выполняется без дополнительных действий со стороны пользователя.
Читайте также
