کمیته رکن چهارم– یک آسیبپذیری امنیتی از نوع اجرای اسکریپت بینسایتی (XSS) در نسخه کلاسیک سرویس ایمیل Zimbra که اکنون اصلاح شده، پیشتر برای اجرای حمله سایبری علیه ارتش برزیل مورد استفاده قرار گرفته است. این حمله از طریق فایلهای تقویم آلوده (ICS) انجام شده که بهصورت هدفمند طراحی شده بودند.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2025-27915 در نسخههای قدیمی Zimbra کشف شد و به مهاجمان اجازه میداد کدهای جاوااسکریپت مخرب را از طریق ایمیل اجرا کنند. کد مذکور از رخداد ontoggle در یک تگ HTML استفاده میکرد و در هنگام مشاهده ایمیل توسط کاربر فعال میشد.
بر اساس یافتههای منتشرشده توسط آزمایشگاه امنیتی StrikeReady در تاریخ ۳۰ سپتامبر ۲۰۲۵، مهاجمان ناشناس با جعل هویت دفتر تشریفات نیروی دریایی لیبی، یک فایل تقویم مخرب به ارتش برزیل ارسال کردهاند. این فایل حاوی اسکریپتی بوده که پس از اجرا، دادههایی مانند گواهیهای ورود، ایمیلها، مخاطبان و پوشههای مشترک را به سرور خارجی منتقل میکرد.
همچنین این اسکریپت فیلترهایی با عنوان Correo در حساب Zimbra ایجاد میکرد تا ایمیلها را به یک آدرس خارجی فوروارد کند. برای جلوگیری از شناسایی، اجرای اسکریپت تنها در صورت گذشت سه روز از آخرین اجرا فعال میشد.
این آسیبپذیری در بهروزرسانیهای امنیتی منتشرشده در ۲۷ ژانویه ۲۰۲۵ توسط Zimbra برطرف شده است. هرچند در اطلاعیه رسمی این شرکت اشارهای به حملات فعال نشده بود، اما گزارشهای مستقل نشان میدهد این حمله پیش از انتشار وصله امنیتی انجام شده است.
در حال حاضر منبع دقیق این حمله مشخص نیست، اما گروههای شناختهشدهای نظیر APT28، UNC1151 و Winter Vivern پیشتر سابقه سوءاستفاده از آسیبپذیریهای مشابه در سیستمهای ایمیل را داشتهاند.
