“Zimbra พบช่องโหว่ XSS ร้ายแรง (CVE-2025-27915) — แฮกเกอร์ใช้ไฟล์ปฏิทิน .ICS เจาะระบบอีเมลองค์กร”
ช่องโหว่ใหม่ในระบบอีเมล Zimbra Collaboration Suite (ZCS) ได้รับการเปิดเผยและยืนยันว่า “ถูกใช้งานจริงในโลกไซเบอร์” โดยช่องโหว่นี้มีรหัส CVE-2025-27915 และถูกจัดอยู่ในรายการ Known Exploited Vulnerabilities (KEV) ของ CISA ซึ่งหมายความว่าองค์กรภาครัฐในสหรัฐฯ ต้องรีบแก้ไขภายในวันที่ 28 ตุลาคม 2025
ช่องโหว่นี้เป็นแบบ stored cross-site scripting (XSS) ที่เกิดจากการที่ Zimbra ไม่กรอง HTML ในไฟล์ .ICS (iCalendar) ที่แนบมากับอีเมลอย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝัง JavaScript ที่ถูกเข้ารหัสไว้ในไฟล์ .ICS ขนาดใหญ่ (มากกว่า 10KB) และเมื่อผู้ใช้เปิดอีเมลที่มีไฟล์นี้ผ่าน Zimbra Webmail สคริปต์จะถูกรันใน session ของผู้ใช้ทันที
ผลลัพธ์คือแฮกเกอร์สามารถขโมยข้อมูลได้หลากหลาย เช่น รหัสผ่าน รายชื่อผู้ติดต่อ รายการอีเมลที่แชร์ และแม้แต่ตั้งค่าฟิลเตอร์เพื่อส่งต่ออีเมลทั้งหมดไปยังบัญชี ProtonMail ที่ควบคุมโดยผู้โจมตี โดยสคริปต์จะทำงานแบบลับ ๆ เช่น รอ 60 วินาทีก่อนเริ่มทำงาน ซ่อน UI ที่เปลี่ยนแปลง และรันกระบวนการขโมยข้อมูลทุก 3 วันเพื่อหลบการตรวจจับ
หนึ่งในเหตุการณ์โจมตีที่ถูกบันทึกไว้คือการปลอมตัวเป็นสำนักงานพิธีการของกองทัพเรือลิเบีย เพื่อส่งไฟล์ .ICS ไปยังองค์กรทหารในบราซิล ซึ่งแสดงให้เห็นว่าเป้าหมายของการโจมตีมีความเฉพาะเจาะจงและมีความสามารถระดับสูง
Zimbra ได้ออกแพตช์แก้ไขในวันที่ 27 มกราคม 2025 สำหรับเวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5 แต่ไม่ได้แจ้งว่าช่องโหว่นี้ถูกใช้งานจริงในตอนแรก จนกระทั่งนักวิจัยพบหลักฐานว่าการโจมตีเริ่มต้นตั้งแต่ต้นเดือนมกราคม
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-27915 เป็น stored XSS ใน Zimbra Collaboration Suite
เกิดจากการไม่กรอง HTML ในไฟล์ .ICS ที่แนบมากับอีเมล
แฮกเกอร์ใช้ไฟล์ .ICS ขนาดใหญ่ที่มี JavaScript เข้ารหัสแบบ Base64
เมื่อเปิดอีเมลผ่าน Zimbra Webmail สคริปต์จะถูกรันใน session ของผู้ใช้
สคริปต์สามารถขโมยรหัสผ่าน รายชื่อผู้ติดต่อ และตั้งค่าฟิลเตอร์ส่งต่ออีเมล
ใช้เทคนิคหลบการตรวจจับ เช่น รอ 60 วินาที ซ่อน UI และรันทุก 3 วัน
หนึ่งในเหตุการณ์โจมตีคือการปลอมตัวเป็นหน่วยงานทหารเพื่อส่งไฟล์ .ICS
Zimbra ออกแพตช์ในวันที่ 27 มกราคม 2025 สำหรับเวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5
CISA เพิ่มช่องโหว่นี้ในรายการ KEV และกำหนดให้หน่วยงานรัฐแก้ไขภายใน 28 ตุลาคม
ข้อมูลเสริมจากภายนอก
ICS (iCalendar) เป็นไฟล์มาตรฐานที่ใช้ในการส่งข้อมูลปฏิทินข้ามระบบ
XSS แบบ stored มีความอันตรายสูงเพราะฝังอยู่ในระบบและทำงานเมื่อผู้ใช้เข้าถึง
การใช้ SOAP API ของ Zimbra ช่วยให้แฮกเกอร์ค้นหาและดึงข้อมูลจากโฟลเดอร์ต่าง ๆ
การตั้งค่าฟิลเตอร์ชื่อ “Correo” เป็นเทคนิคที่ใช้ส่งต่ออีเมลโดยไม่ให้ผู้ใช้รู้ตัว
กลุ่ม UNC1151 เคยใช้เทคนิคคล้ายกันในการโจมตีองค์กรรัฐบาลในยุโรปตะวันออก
https://securityonline.info/zimbra-xss-zero-day-cve-2025-27915-actively-exploited-cisa-adds-to-kev-catalog/
ช่องโหว่ใหม่ในระบบอีเมล Zimbra Collaboration Suite (ZCS) ได้รับการเปิดเผยและยืนยันว่า “ถูกใช้งานจริงในโลกไซเบอร์” โดยช่องโหว่นี้มีรหัส CVE-2025-27915 และถูกจัดอยู่ในรายการ Known Exploited Vulnerabilities (KEV) ของ CISA ซึ่งหมายความว่าองค์กรภาครัฐในสหรัฐฯ ต้องรีบแก้ไขภายในวันที่ 28 ตุลาคม 2025
ช่องโหว่นี้เป็นแบบ stored cross-site scripting (XSS) ที่เกิดจากการที่ Zimbra ไม่กรอง HTML ในไฟล์ .ICS (iCalendar) ที่แนบมากับอีเมลอย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝัง JavaScript ที่ถูกเข้ารหัสไว้ในไฟล์ .ICS ขนาดใหญ่ (มากกว่า 10KB) และเมื่อผู้ใช้เปิดอีเมลที่มีไฟล์นี้ผ่าน Zimbra Webmail สคริปต์จะถูกรันใน session ของผู้ใช้ทันที
ผลลัพธ์คือแฮกเกอร์สามารถขโมยข้อมูลได้หลากหลาย เช่น รหัสผ่าน รายชื่อผู้ติดต่อ รายการอีเมลที่แชร์ และแม้แต่ตั้งค่าฟิลเตอร์เพื่อส่งต่ออีเมลทั้งหมดไปยังบัญชี ProtonMail ที่ควบคุมโดยผู้โจมตี โดยสคริปต์จะทำงานแบบลับ ๆ เช่น รอ 60 วินาทีก่อนเริ่มทำงาน ซ่อน UI ที่เปลี่ยนแปลง และรันกระบวนการขโมยข้อมูลทุก 3 วันเพื่อหลบการตรวจจับ
หนึ่งในเหตุการณ์โจมตีที่ถูกบันทึกไว้คือการปลอมตัวเป็นสำนักงานพิธีการของกองทัพเรือลิเบีย เพื่อส่งไฟล์ .ICS ไปยังองค์กรทหารในบราซิล ซึ่งแสดงให้เห็นว่าเป้าหมายของการโจมตีมีความเฉพาะเจาะจงและมีความสามารถระดับสูง
Zimbra ได้ออกแพตช์แก้ไขในวันที่ 27 มกราคม 2025 สำหรับเวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5 แต่ไม่ได้แจ้งว่าช่องโหว่นี้ถูกใช้งานจริงในตอนแรก จนกระทั่งนักวิจัยพบหลักฐานว่าการโจมตีเริ่มต้นตั้งแต่ต้นเดือนมกราคม
ข้อมูลสำคัญจากข่าว
ช่องโหว่ CVE-2025-27915 เป็น stored XSS ใน Zimbra Collaboration Suite
เกิดจากการไม่กรอง HTML ในไฟล์ .ICS ที่แนบมากับอีเมล
แฮกเกอร์ใช้ไฟล์ .ICS ขนาดใหญ่ที่มี JavaScript เข้ารหัสแบบ Base64
เมื่อเปิดอีเมลผ่าน Zimbra Webmail สคริปต์จะถูกรันใน session ของผู้ใช้
สคริปต์สามารถขโมยรหัสผ่าน รายชื่อผู้ติดต่อ และตั้งค่าฟิลเตอร์ส่งต่ออีเมล
ใช้เทคนิคหลบการตรวจจับ เช่น รอ 60 วินาที ซ่อน UI และรันทุก 3 วัน
หนึ่งในเหตุการณ์โจมตีคือการปลอมตัวเป็นหน่วยงานทหารเพื่อส่งไฟล์ .ICS
Zimbra ออกแพตช์ในวันที่ 27 มกราคม 2025 สำหรับเวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5
CISA เพิ่มช่องโหว่นี้ในรายการ KEV และกำหนดให้หน่วยงานรัฐแก้ไขภายใน 28 ตุลาคม
ข้อมูลเสริมจากภายนอก
ICS (iCalendar) เป็นไฟล์มาตรฐานที่ใช้ในการส่งข้อมูลปฏิทินข้ามระบบ
XSS แบบ stored มีความอันตรายสูงเพราะฝังอยู่ในระบบและทำงานเมื่อผู้ใช้เข้าถึง
การใช้ SOAP API ของ Zimbra ช่วยให้แฮกเกอร์ค้นหาและดึงข้อมูลจากโฟลเดอร์ต่าง ๆ
การตั้งค่าฟิลเตอร์ชื่อ “Correo” เป็นเทคนิคที่ใช้ส่งต่ออีเมลโดยไม่ให้ผู้ใช้รู้ตัว
กลุ่ม UNC1151 เคยใช้เทคนิคคล้ายกันในการโจมตีองค์กรรัฐบาลในยุโรปตะวันออก
https://securityonline.info/zimbra-xss-zero-day-cve-2025-27915-actively-exploited-cisa-adds-to-kev-catalog/
📧 “Zimbra พบช่องโหว่ XSS ร้ายแรง (CVE-2025-27915) — แฮกเกอร์ใช้ไฟล์ปฏิทิน .ICS เจาะระบบอีเมลองค์กร”
ช่องโหว่ใหม่ในระบบอีเมล Zimbra Collaboration Suite (ZCS) ได้รับการเปิดเผยและยืนยันว่า “ถูกใช้งานจริงในโลกไซเบอร์” โดยช่องโหว่นี้มีรหัส CVE-2025-27915 และถูกจัดอยู่ในรายการ Known Exploited Vulnerabilities (KEV) ของ CISA ซึ่งหมายความว่าองค์กรภาครัฐในสหรัฐฯ ต้องรีบแก้ไขภายในวันที่ 28 ตุลาคม 2025
ช่องโหว่นี้เป็นแบบ stored cross-site scripting (XSS) ที่เกิดจากการที่ Zimbra ไม่กรอง HTML ในไฟล์ .ICS (iCalendar) ที่แนบมากับอีเมลอย่างเหมาะสม ทำให้แฮกเกอร์สามารถฝัง JavaScript ที่ถูกเข้ารหัสไว้ในไฟล์ .ICS ขนาดใหญ่ (มากกว่า 10KB) และเมื่อผู้ใช้เปิดอีเมลที่มีไฟล์นี้ผ่าน Zimbra Webmail สคริปต์จะถูกรันใน session ของผู้ใช้ทันที
ผลลัพธ์คือแฮกเกอร์สามารถขโมยข้อมูลได้หลากหลาย เช่น รหัสผ่าน รายชื่อผู้ติดต่อ รายการอีเมลที่แชร์ และแม้แต่ตั้งค่าฟิลเตอร์เพื่อส่งต่ออีเมลทั้งหมดไปยังบัญชี ProtonMail ที่ควบคุมโดยผู้โจมตี โดยสคริปต์จะทำงานแบบลับ ๆ เช่น รอ 60 วินาทีก่อนเริ่มทำงาน ซ่อน UI ที่เปลี่ยนแปลง และรันกระบวนการขโมยข้อมูลทุก 3 วันเพื่อหลบการตรวจจับ
หนึ่งในเหตุการณ์โจมตีที่ถูกบันทึกไว้คือการปลอมตัวเป็นสำนักงานพิธีการของกองทัพเรือลิเบีย เพื่อส่งไฟล์ .ICS ไปยังองค์กรทหารในบราซิล ซึ่งแสดงให้เห็นว่าเป้าหมายของการโจมตีมีความเฉพาะเจาะจงและมีความสามารถระดับสูง
Zimbra ได้ออกแพตช์แก้ไขในวันที่ 27 มกราคม 2025 สำหรับเวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5 แต่ไม่ได้แจ้งว่าช่องโหว่นี้ถูกใช้งานจริงในตอนแรก จนกระทั่งนักวิจัยพบหลักฐานว่าการโจมตีเริ่มต้นตั้งแต่ต้นเดือนมกราคม
✅ ข้อมูลสำคัญจากข่าว
➡️ ช่องโหว่ CVE-2025-27915 เป็น stored XSS ใน Zimbra Collaboration Suite
➡️ เกิดจากการไม่กรอง HTML ในไฟล์ .ICS ที่แนบมากับอีเมล
➡️ แฮกเกอร์ใช้ไฟล์ .ICS ขนาดใหญ่ที่มี JavaScript เข้ารหัสแบบ Base64
➡️ เมื่อเปิดอีเมลผ่าน Zimbra Webmail สคริปต์จะถูกรันใน session ของผู้ใช้
➡️ สคริปต์สามารถขโมยรหัสผ่าน รายชื่อผู้ติดต่อ และตั้งค่าฟิลเตอร์ส่งต่ออีเมล
➡️ ใช้เทคนิคหลบการตรวจจับ เช่น รอ 60 วินาที ซ่อน UI และรันทุก 3 วัน
➡️ หนึ่งในเหตุการณ์โจมตีคือการปลอมตัวเป็นหน่วยงานทหารเพื่อส่งไฟล์ .ICS
➡️ Zimbra ออกแพตช์ในวันที่ 27 มกราคม 2025 สำหรับเวอร์ชัน 9.0.0 P44, 10.0.13 และ 10.1.5
➡️ CISA เพิ่มช่องโหว่นี้ในรายการ KEV และกำหนดให้หน่วยงานรัฐแก้ไขภายใน 28 ตุลาคม
✅ ข้อมูลเสริมจากภายนอก
➡️ ICS (iCalendar) เป็นไฟล์มาตรฐานที่ใช้ในการส่งข้อมูลปฏิทินข้ามระบบ
➡️ XSS แบบ stored มีความอันตรายสูงเพราะฝังอยู่ในระบบและทำงานเมื่อผู้ใช้เข้าถึง
➡️ การใช้ SOAP API ของ Zimbra ช่วยให้แฮกเกอร์ค้นหาและดึงข้อมูลจากโฟลเดอร์ต่าง ๆ
➡️ การตั้งค่าฟิลเตอร์ชื่อ “Correo” เป็นเทคนิคที่ใช้ส่งต่ออีเมลโดยไม่ให้ผู้ใช้รู้ตัว
➡️ กลุ่ม UNC1151 เคยใช้เทคนิคคล้ายกันในการโจมตีองค์กรรัฐบาลในยุโรปตะวันออก
https://securityonline.info/zimbra-xss-zero-day-cve-2025-27915-actively-exploited-cisa-adds-to-kev-catalog/
0 Comments
0 Shares
19 Views
0 Reviews
Thai