Recentemente è stata identificata una grave vulnerabilità zero-day nella piattaforma di posta elettronica Zimbra Collaboration Suite, sfruttata attraverso file calendario (.ICS) contenenti codice JavaScript malevolo. L’attacco ha bersagliato enti governativi come il Brasile e si è diffuso sfruttando tecniche avanzate di evasione. I file ICS manipolati permettevano agli hacker di rubare credenziali, e-mail e dati sensibili.
Per evitare queste minacce, aggiornare Zimbra all’ultima versione, rafforzare la sicurezza delle e-mail e formare gli utenti al riconoscimento di allegati sospetti restano le azioni consigliate.
La vulnerabilità zero-day: nuovo fronte per la cyber-sicurezza
Nel 2025, Zimbra Collaboration Suite – uno dei sistemi open source più usati per la gestione di e-mail e calendari aziendali – ha subito una nuova ondata di attacchi informatici legati a una vulnerabilità zero-day, identificata come CVE-2025-27915. Questo difetto riguarda la gestione dei file ICS, un formato diffuso per lo scambio di eventi e appuntamenti tra calendari digitali.
Gli attacchi hanno sfruttato una Stored Cross-Site Scripting (XSS) nei file ICS, permettendo l’esecuzione di codice JavaScript una volta che l’utente visualizza e-mail con allegati compromessi. In particolare, l’exploit era attivato tramite l’evento ontoggle all’interno di un tag HTML <details>, consentendo all’attaccante di manipolare la sessione del browser, sottrarre informazioni e impostare filtri per il reindirizzamento automatico delle e-mail[1][2][3][4][8].
Il bersaglio: istituzioni governative e militari
Il caso più eclatante ha riguardato il militare brasiliano, colpito nel 2025 da un attacco partito da un indirizzo IP che aveva spoofato il protocollo della Marina libica. Il file ICS infetto era progettato per esfiltrare dati sensibili utilizzando funzioni di JavaScript avanzate: credenziali, messaggi, contatti e cartelle condivise diventavano accessibili agli hacker nel momento in cui la vittima apriva il file corrotto attraverso Zimbra Webmail[4][7].
Molteplici tecniche di evasione sono state implementate nel malware:
- Rinvia l’esecuzione del codice di 60 secondi
- Limita la durata dell’attività malevola a tre giorni
- Nasconde gli indizi visivi nell’interfaccia utente
- Disconnette utenti inattivi per facilitare la sottrazione dati
Non è stato attribuito con certezza l’attacco a un gruppo specifico, ma si sono notate similitudini operative con UNC1151, un APT bielorusso già noto nel settore[4].
Il meccanismo tecnico dell’attacco
La vulnerabilità nasce dalla scarsa sanitizzazione del contenuto HTML nei file ICS gestiti dal client Web di Zimbra. Quando un utente visualizza la e-mail contenente un file ICS alterato, il browser esegue il JavaScript inserito dal cybercriminale. Questa esecuzione può condurre a:
- Manipolazione delle impostazioni personali dell’utente
- Reindirizzamento delle e-mail verso caselle controllate dagli attaccanti
- Esportazione automatica di informazioni riservate
Lo script malevolo è strutturato per agire in maniera asincrona, con più funzioni isolate (“IIFE”), garantendo resistenza ai tentativi di rilevazione e blocco.
Diffusione e impatto
Secondo CISA (Cybersecurity & Infrastructure Security Agency) degli Stati Uniti, la vulnerabilità è entrata nella lista delle “Known Exploited Vulnerabilities”, imponendo la correzione obbligatoria a tutte le agenzie federali entro il 28 ottobre 2025. Gli esperti invitano anche le aziende private che utilizzano Zimbra a controllare i parametri di sicurezza e aggiornare immediatamente il sistema[1][3].
L’impatto potenziale si estende dalla compromissione di informazioni strategiche all’interruzione di servizi essenziali. La modalità di attacco – basata sull’invio diretto di file ICS via e-mail – rappresenta una minaccia poco comune ma estremamente efficace per collochi istituzionali e aziende[4].
Patch e mitigazione
Zimbra ha rilasciato più patch tra gennaio e giugno 2025, intervenendo nelle seguenti versioni:
- ZCS 9.0.0 Patch 44
- ZCS 10.0.13
- ZCS 10.1.5
Gli aggiornamenti correggono il difetto nella sanitizzazione dei file ICS e bloccano l’esecuzione di JavaScript non autorizzato. Tuttavia, la rapidità di sviluppo dei malware impone alle organizzazioni di mantenere alta l’attenzione anche dopo le patch, monitorando anomalie e ricezione di file sospetti[2][3][5].
Raccomandazioni operative per utenti e amministratori
La community internazionale della sicurezza consiglia di:
- Aggiornare immediatamente Zimbra alle ultime versioni, applicando tutte le patch disponibili.
- Verificare le configurazioni di sicurezza della piattaforma, limitando le capacità di esecuzione di script via allegati.
- Formare gli utenti ad individuare e segnalare allegati insoliti o provenienti da mittenti inattesi, specialmente file ICS.
- Attivare sistemi di monitoraggio delle attività utente e delle modifiche ai filtri di posta elettronica.
- Utilizzare strumenti di sicurezza avanzati (antispam, sandboxing, EDR) che analizzino allegati e comportamento dei file in tempo reale.
Possibili evoluzioni e nuovi fronti di attacco
Gli attacchi basati su vulnerabilità zero-day come quelli visti su Zimbra indicano una crescente sofisticazione dei criminali informatici e degli APT (Advanced Persistent Threat). Il settore dei software open source continua a essere un obiettivo privilegiato, sia per l’ampia diffusione sia per la rapidità con cui vengono implementate nuove feature e fix di sicurezza, talvolta però insufficienti a bloccare nuove tecniche d’attacco[4].
Gli esperti raccomandano di non sottovalutare i rischi legati alle “minacce calendariali” e alle vulnerabilità XSS, che in casi recenti si sono dimostrate versatili e pericolose quanto le più note RCE (Remote Code Execution).
Consigli avanzati per la protezione:
- Eseguire audit di sicurezza periodici, simulando attacchi via ICS e testando tutti i workflow di ricezione e allegazione file.
- Implementare regole personalizzate di filtering e detection sulle gateway e-mail interne, bloccando allegati ICS provenienti da mittenti non autorizzati.
- Monitorare il traffico di rete per segnali di esfiltrazione dati, specialmente verso domini sospetti rilevati negli incidenti recenti.
- Impostare controlli di accesso granulari su Zimbra, segmentando i permessi tra utenti e amministratori.
- Collaborare con i CERT regionali e i vendor di sicurezza per ricevere informazioni aggiornate su nuove varianti di zero-day e TTP degli attaccanti.
Questi passaggi, se adottati con regolarità, possono ridurre l’esposizione alle minacce emergenti e tutelare la continuità operativa delle organizzazioni.
