Агентство кибербезопасности и инфраструктурной безопасности США (CISA) внесло новую уязвимость в свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV). Речь идет о CVE-2025-27915, обнаруженной в платформе корпоративной коммуникации Synacor Zimbra Collaboration Suite (ZCS). Это решение широко используется организациями по всему миру для управления электронной почтой, календарями и совместной работы. Решение CISA основано на обнаруженных доказательствах активной эксплуатации данной уязвимости в реальных атаках. Ведомство подчеркивает, что подобные уязвимости являются частым вектором атак для злонамеренных киберпреступников и несут существенные риски для федеральных ведомств и частного сектора.
Детали уязвимости
CVE-2025-27915 представляет собой сохраняющуюся уязвимость межсайтового скриптинга (Stored Cross-Site Scripting, XSS) в классическом веб-клиенте Zimbra Collaboration Suite версий 9.0, 10.0 и 10.1. Проблема возникает из-за недостаточной санации HTML-контента в файлах календаря с расширением .ICS. Когда пользователь просматривает электронное письмо, содержащее вредоносную запись календаря, внедренный JavaScript код выполняется через событие ontoggle внутри тега <details>. Это позволяет злоумышленнику запускать произвольный JavaScript код в сессии жертвы, что потенциально ведет к несанкционированным действиям.
Эксплуатация этой уязвимости открывает широкие возможности для атакующих. Успешная атака может привести к выполнению несанкционированных операций от имени учетной записи пользователя без его ведома. Одним из наиболее опасных сценариев является настройка правил пересылки входящих писем на контролируемый злоумышленником адрес электронной почты. Это позволяет осуществлять перехват конфиденциальной корреспонденции, что является формой утечки данных. Помимо пересылки писем, злоумышленник может получить доступ к другим функциям учетной записи, доступным через веб-сессию, что значительно расширяет потенциал ущерба.
Особенность данной уязвимости заключается в ее сохняющемся характере. Вредоносный код сохраняется на сервере Zimbra и выполняется каждый раз, когда жертва открывает скомпрометированное письмо с календарной записью. Это делает атаку устойчивой и не требующей дополнительного взаимодействия с пользователем после первоначального внедрения. Уязвимость особенно опасна в контексте целевых атак на организации, где перехват электронной переписки может привести к раскрытию коммерческой тайны, персональных данных или другой чувствительной информации.
Включение уязвимости в каталог KEV является официальной рекомендацией CISA для всех федеральных гражданских исполнительных органов принять срочные меры по устранению данной проблемы в установленные сроки. Хотя директива формально адресована государственным учреждениям США, она служит важным сигналом для частного сектора и международных организаций, использующих Zimbra Collaboration Suite. Каталог известных эксплуатируемых уязвимостей служит своего рода приоритетным списком проблем безопасности, которые активно используются киберпреступниками в реальном времени, что делает их устранение критически важным.
Производитель программного обеспечения, компания Synacor, уже выпустила исправления для устранения уязвимости CVE-2025-27915. Администраторам систем на базе Zimbra Collaboration Suite настоятельно рекомендуется как можно скорее установить соответствующие обновления безопасности. До момента применения заплаток следует проявлять повышенную бдительность при работе с электронными письмами, содержащими вложения или ссылки на календарные события, особенно от неизвестных отправителей. Временной промежуток между обнаружением активной эксплуатации и внесением уязвимости в каталог KEV обычно невелик, что подчеркивает серьезность угрозы.
Ситуация с CVE-2025-27915 вновь демонстрирует сохраняющуюся актуальность классических векторов атак, таких как XSS, даже в современных и широко распространенных корпоративных решениях. Несмотря на то, что механизмы межсайтового скриптинга известны уже давно, они продолжают оставаться эффективным инструментом в арсенале киберпреступников. Это связано как со сложностью обеспечения полной санации пользовательского ввода во всех компонентах многофункциональных платформ, так и с высокой рентабельностью таких атак при нацеливании на корпоративные системы связи. Регулярное обновление программного обеспечения и своевременное применение исправлений безопасности остается ключевой мерой защиты от подобных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-27915
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.1.5#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/10.0.13#Security_Fixes
- https://wiki.zimbra.com/wiki/Zimbra_Releases/9.0.0/P44#Security_Fixes
