【安全圈】超一萬臺 Zimbra 服務器易受持續 XSS 攻擊

關鍵詞

黑客攻擊

據非營利性安全組織 Shadowserver 稱，超一萬臺暴露在互聯網上的 Zimbra 協作套件（ZCS）實例，因一個跨站腳本（XSS）安全漏洞，正面臨持續攻擊風險。

Zimbra 是一款廣受歡迎的電子郵件與協作軟件套件，全球數億人在使用，其中包括數百家政府機構和數千家企業。

該漏洞編號為 CVE - 2025 - 48700，影響 ZCS 8.8.15、9.0、10.0 和 10.1 版本。未經身份驗證的攻擊者利用此漏洞，可在用戶會話中執行任意 JavaScript 代碼，進而獲取敏感信息。

2025 年 6 月，Synacor 發布安全補丁修復該漏洞，并警告稱，利用 CVE - 2025 - 48700 的攻擊無需用戶交互，用戶在 Zimbra 經典用戶界面查看精心制作的惡意電子郵件時，攻擊即可觸發。

周一，美國網絡安全和基礎設施安全局（CISA）基于該漏洞已被主動利用的證據，將 CVE - 2025 - 48700 標記為在實際中被濫用的漏洞，并將其添加到已知被利用漏洞（KEV）目錄中。

美國網絡安全機構還責令聯邦政府行政部門（FCEB）在三天內，即 4 月 23 日前，保障其 Zimbra 服務器的安全。

周五，互聯網安全監督組織 Shadowserver 也發出警告，超 10500 臺暴露在互聯網上的 Zimbra 服務器仍未打補丁，其中大部分位于亞洲（3794 臺）和歐洲（3793 臺）。

雖然 CISA 未公布 CVE - 2025 - 48700 攻擊的具體細節，但另一個 XSS 漏洞（編號為 CVE - 2025 - 66376，11 月初修復），自 1 月起被國家級支持的 APT28（又名 “奇幻熊”、“鍶”）軍事黑客，用于針對烏克蘭政府實體的網絡釣魚攻擊。

賽克雷特實驗室（Seqrite Labs）的安全研究人員將此次網絡釣魚活動代號為 “幽靈郵件行動”（Operation GhostMail）。該活動還針對烏克蘭國家水文局（隸屬于基礎設施部的關鍵基礎設施實體，提供導航、海事和水文支持），當收件人在存在漏洞的 Zimbra 網絡郵件會話中打開惡意電子郵件時，就會收到經過混淆的 JavaScript 有效載荷。

賽克雷特實驗室當時表示：“該網絡釣魚郵件沒有惡意附件、可疑鏈接或宏。整個攻擊鏈都在一封郵件的 HTML 正文中，沒有惡意附件?！?/p>

Zimbra 的漏洞經常在攻擊中被利用，近年來已導致數千臺易受攻擊的電子郵件服務器遭到入侵。

例如，2023 年 2 月，俄羅斯 “冬季鼬”（Winter Vivern）網絡間諜利用另一個反射型 XSS 漏洞，入侵 Zimbra 網絡郵件門戶，竊取與北約結盟的組織和個人（包括軍事人員、政府官員和外交官）收發的電子郵件。

最近，在 2024 年 10 月，美國和英國網絡機構警告稱，與俄羅斯對外情報局（SVR）有關聯的 APT29（又名 “舒適熊”、“午夜暴風雪”）黑客，正在 “大規?！?攻擊易受攻擊的 Zimbra 服務器，利用的安全漏洞此前已被用于竊取電子郵件賬戶憑證。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！