La falla XSS CVE-2024-27443 di Zimbra colpisce 129.000 server, sospetto Sednit
Una vulnerabilità XSS critica, CVE-2024-27443, nella funzionalità CalendarInvite di Zimbra Collaboration Suite è attivamente sfruttata, potenzialmente dal gruppo di hacker Sednit. Scopri come questa falla consente agli aggressori di compromettere le sessioni utente e perché è fondamentale applicare immediatamente una patch.
È stata scoperta una nuova vulnerabilità di sicurezza in Zimbra Collaboration Suite (ZCS) , una popolare piattaforma di posta elettronica e collaborazione. Questa vulnerabilità, classificata come CVE-2024-27443, è un tipo di vulnerabilità di cross-site scripting (XSS) che potrebbe consentire agli aggressori di rubare informazioni o assumere il controllo degli account utente.
Il problema risiede specificamente nella funzionalità CalendarInvite dell'interfaccia del client Web classico di Zimbra. Si verifica perché il sistema non controlla correttamente le informazioni in arrivo nell'intestazione del calendario delle email.
Questa svista crea un'apertura per un attacco XSS memorizzato. Ciò significa che un aggressore può incorporare codice dannoso in un'e-mail appositamente progettata. Quando un utente apre l'e-mail utilizzando l'interfaccia classica di Zimbra, il codice dannoso viene eseguito automaticamente nel browser web, consentendo all'aggressore di accedere alla sessione. La gravità di questa vulnerabilità è classificata come media, con un punteggio CVSS di 6,1. Interessa le versioni ZCS 9.0 (patch 1-38) e 10.0 (fino alla 10.0.6).
Secondo Censys, un'azienda specializzata in sicurezza informatica, giovedì 22 maggio 2025, data di pubblicazione del rapporto originale, risultava esposto online un numero significativo di istanze di Zimbra Collaboration Suite che potevano risultare vulnerabili.
Censys ha rilevato un totale di 129.131 istanze ZCS potenzialmente vulnerabili a livello globale, la maggior parte delle quali si trova in Nord America, Europa e Asia. La maggior parte di queste è ospitata su servizi cloud. Inoltre, sono stati identificati 33.614 host Zimbra on-premise, spesso collegati a infrastrutture condivise.
La vulnerabilità è stata ufficialmente aggiunta al catalogo delle vulnerabilità note sfruttate (KEV) della CISA il 19 maggio 2025, confermando che viene sfruttata attivamente dagli aggressori.
I ricercatori di sicurezza di ESET hanno ipotizzato che un noto gruppo di hacker, Sednit (PDF) (noto anche come APT28 o Fancy Bear), potrebbe essere coinvolto nello sfruttamento di questa falla. I ricercatori di ESET sospettano che il gruppo Sednit stia sfruttando questa falla nell'ambito di un piano più ampio chiamato Operation RoundPress , che mira a rubare le credenziali di accesso e a mantenere l'accesso alle piattaforme di webmail. Sebbene al momento non esista alcun exploit proof-of-concept (PoC) pubblico, lo sfruttamento attivo evidenzia l'urgenza per gli utenti di agire.
La buona notizia è che sono disponibili patch per questa vulnerabilità. Zimbra ha risolto il problema nelle versioni ZCS 10.0.7 e 9.0.0 Patch 39. Si consiglia vivamente agli utenti di aggiornare immediatamente la propria Zimbra Collaboration Suite a queste versioni patchate per proteggersi da potenziali attacchi.
HackRead
