Brazil napadnut: Hakovani vojni sistemi

Kako prenosi portal The Hacker News, hakeri su koristili do tada nepoznatu "zero-day" grešku označenu kao CVE-2025-27915, kojom su ubacivali zlonamjerni JavaScript kod putem lažnih kalendarskih (ICS) fajlova.

Ranjivost je omogućavala cross-site scripting (XSS) napade. Bilo je dovoljno da korisnik otvori mejl sa priloženim fajlom, nakon čega se zlonamjerni kod izvršavao u okviru Zimbra sesije. Time su napadači mogli da pristupe mejlovima, kontaktima, lozinkama i čak da preusmjere dolazne poruke na svoje adrese.

Prema izvještaju kompanije StrikeReady, napad je bio pažljivo planiran. Napadači su se predstavljali kao zvaničnici libijske mornarice i slali ICS fajlove koji su pokretali maliciozne skripte. Zlonamjerni kod je potom postavljao mejl filtere pod nazivom "Correo" koji su automatski prosleđivali poruke na adresu spam_to_junk@proton.me.

Iako je Zimbra već objavila zakrpe, verzije 9.0.0 Patch 44, 10.0.13 i 10.1.5 od 27. januara ove godine, tek sada se ispostavlja da je propust aktivno korišćen u napadima.

Zanimljivo je da je skripta imala i mehanizme prikrivanja, poput odlaganja aktivacije za nekoliko dana i skrivanja određenih elemenata korisničkog interfejsa, kako bi napad duže ostao neprimjećen.

Identitet napadača nije poznat, ali bezbednosni istraživači podsećaju da su ranije grupe povezane sa Rusijom, poput APT28 i Ghostwriter (UNC1151), koristile slične XSS ranjivosti u Zimbra i drugim veb mejl sistemima.

Stručnjaci upozoravaju da korisnici koji još uvijek koriste starije verzije Zimbra softvera treba što prije da instaliraju najnovije bezbjednosne zakrpe i provjere podešene mejl filtere radi otkrivanja mogućeg kompromitovanja.