Агентство по кибербезопасности и защите инфраструктуры США (CISA) внесло новую опасную уязвимость в платформе для совместной работы Zimbra Collaboration Suite (ZCS) в свой каталог активно эксплуатируемых уязвимостей (Known Exploited Vulnerabilities). Данный шаг является официальным сигналом для государственных и частных организаций по всему миру: угроза реальна, и атаки уже происходят. Федеральным агентствам США предписано устранить проблему до 1 апреля 2026 года, однако в условиях активного злонамеренного использования промедление с обновлением для любой компании может привести к серьёзным последствиям.
Суть угрозы: уязвимость межсайтового скриптинга в классическом интерфейсе
Проблема получила идентификатор CVE-2025-66376 и классифицируется как уязвимость высокой степени серьёзности. Речь идёт о так называемом хранимом межсайтовом скриптинге (XSS) в классическом веб-интерфейсе Zimbra. Корень проблемы кроется в недостаточной фильтрации входящего контента. Злоумышленники научились обходить стандартные защитные механизмы, внедряя в тело HTML-писем специальные директивы @import для каскадных таблиц стилей (CSS).
Когда пользователь открывает такое специально сформированное письмо, вредоносный скрипт выполняется в контексте его текущей сессии в Zimbra. Это предоставляет атакующему широкие возможности: от хищения конфиденциальной переписки и полного захвата учётной записи жертвы до потенциального перемещения внутри корпоративной среды для дальнейших атак. Хотя точные детали кампаний, в которых используется эта уязвимость, пока не раскрыты (в частности, не подтверждена связь с программами-вымогателями), сам факт включения в каталог KEV означает, что специалисты CISA зафиксировали случаи реального эксплуатации в дикой природе.
Меры реагирования: срочное обновление или отказ от продукта
Разработчик платформы, компания Synacor, оперативно отреагировал и выпустил патчи, устраняющие проблему. Обновление безопасности решает уязвимость XSS путём апгрейда компонента фильтрации HTML AntiSamy до версии 1.7.8 и удаления устаревшего уязвимого кода. Администраторам настоятельно рекомендуется немедленно обновить свои системы до одной из защищённых версий: Zimbra Collaboration Suite 10.1.13 для пользователей актуальной ветки и Zimbra Collaboration Suite 10.0.18 для тех, кто ещё использует legacy-развёртывания.
CISA в своих рекомендациях занимает жёсткую позицию: организации должны применить меры по устранению уязвимости, предоставленные вендором, немедленно. Если установка обновления по каким-либо причинам невозможна, агентство рекомендует полностью прекратить использование продукта, чтобы исключить риски. При этом Synacor оценивает риск установки данного патча как средний, что подразумевает необходимость для администраторов следовать стандартным процедурам тестирования в промежуточной среде перед развёртыванием на рабочих серверах.
Контекст и долгосрочные последствия: конец жизненного цикла версии 10.0
Помимо исправления CVE-2025-66376, последние обновления Zimbra несут ряд улучшений безопасности и удобства. Среди ключевых изменений - усиление обработки протокола TLS в соответствии с современными стандартами, улучшенные инструменты управления данными в Amazon S3 при миграции почтовых ящиков, а также новый интеллектуальный поиск в почте Ignite. Кроме того, обновлённый Zimbra Connector for Outlook (ZCO) получил полную совместимость с Outlook 2024, а поддержка протокола EWS для старых клиентов Outlook будет сохраняться до октября 2026 года.
Однако самым важным контекстным фактором является официальное окончание жизненного цикла (End of Life) ветки Zimbra 10.0, которое наступило 31 декабря 2025 года. Это означает, что выпуск патча 10.0.18 - это исключительно критическое обновление безопасности для конкретной уязвимости, но не возобновление полноценной поддержки. Организациям, всё ещё использующим версию 10.0, необходимо в срочном порядке спланировать миграцию на полностью поддерживаемую ветку 10.1. Только такой переход гарантирует получение всех будущих исправлений безопасности и защитных мер, что критически важно для поддержания киберустойчивости в условиях постоянно развивающихся угроз.
Выводы для специалистов по информационной безопасности
Данный инцидент наглядно демонстрирует классический сценарий: уязвимость в популярном корпоративном продукте, активная эксплуатация в wild и срочные патчи. Для SOC-команд это сигнал к включению CVE-2025-66376 в приоритетный список для проверки своих сред. Администраторам Zimbra необходимо, не откладывая, инициировать процесс тестирования и установки обновлений, а тем, кто застрял на версии 10.0, - пересмотреть планы миграции как одну из основных задач безопасности на ближайшее время. В свою очередь, обычным пользователям следует помнить о базовых правилах гигиены: быть предельно внимательными к неожиданным письмам, даже приходящим из внутренних источников, поскольку вектор атаки в данном случае начинается именно с интерактивного открытия сообщения.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-66376
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-66376
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.13#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.18#Security_Fixes
