Brazil napadnut: Hakovani vojni sistemi

Како преноси портал The Hacker News, хакери су користили до тада непознату "zero-day" грешку означену као ЦВЕ-2025-27915, којом су убацивали злонамјерни JavaScript код путем лажних календарских (ИЦС) фајлова.

Рањивост је омогућавала cross-site scripting (XSS) нападе. Било је довољно да корисник отвори мејл са приложеним фајлом, након чега се злонамјерни код извршавао у оквиру Зимбра сесије. Тиме су нападачи могли да приступе мејловима, контактима, лозинкама и чак да преусмјере долазне поруке на своје адресе.

Према извјештају компаније StrikeReady, напад је био пажљиво планиран. Нападачи су се представљали као званичници либијске морнарице и слали ИЦС фајлове који су покретали малициозне скрипте. Злонамјерни код је потом постављао мејл филтере под називом "Correo" који су аутоматски прослеђивали поруке на адресу spam_to_junk@proton.me.

Иако је Зимбра већ објавила закрпе, верзије 9.0.0 Patch 44, 10.0.13 и 10.1.5 од 27. јануара ове године, тек сада се испоставља да је пропуст активно коришћен у нападима.

Занимљиво је да је скрипта имала и механизме прикривања, попут одлагања активације за неколико дана и скривања одређених елемената корисничког интерфејса, како би напад дуже остао непримјећен.

Идентитет нападача није познат, али безбедносни истраживачи подсећају да су раније групе повезане са Русијом, попут АПТ28 и Ghostwriter (УНЦ1151), користиле сличне XSS рањивости у Зимбра и другим веб мејл системима.

Стручњаци упозоравају да корисници који још увијек користе старије верзије Зимбра софтвера треба што прије да инсталирају најновије безбједносне закрпе и провјере подешене мејл филтере ради откривања могућег компромитовања.