Zimbra Collaboration Suite的CalendarInvite功能中的一个关键XSS漏洞CVE-2024-27443正在被Sednit黑客组织积极利用。了解此漏洞如何允许攻击者破坏用户会话,以及为什么立即修补至关重要。

在Zimbra协作套件(ZCS)中发现了一个新的安全漏洞,Zimbra协作套件是一个受欢迎的电子邮件和协作平台。这个问题被归类为CVE-2024-27443是一种跨站点脚本(XSS)漏洞,可能允许攻击者窃取信息或控制用户帐户。

缺陷 如何 工作

问题具体存在于Zimbra的Classic Web Client界面的CalendarInvite功能中。发生这种情况是因为系统没有正确检查电子邮件日历头中的传入信息。

这种监督为存储的 XSS 攻击创造了一个打开。这意味着攻击者可以将有害代码嵌入到专门设计的电子邮件中。当用户使用经典的Zimbra界面打开此电子邮件时,恶意代码在其Web浏览器中自动运行,使攻击者可以访问他们的会话。此漏洞的严重程度被评为中等,CVSS评分为6.1。它影响ZCS 9.0版本(补丁1-38)和10.0(高达10.0.6)。

广泛接触和积极剥削

根据网络安全洞察公司Censys的说法,截至2025年5月22日星期四,当原始报告发布时,大量Zimbra Collaboration Suite实例在网上被曝光,这些实例可能容易受到攻击。

Censys在全球共观察到129,131个潜在易受攻击的ZCS病例,其中大多数发生在北美,欧洲和亚洲。其中大部分托管在云服务中。此外,还确定了33,614个内部Zimbra主机,通常与共享基础设施相关联。

该漏洞于2025年5月19日正式添加到CISA的已知受剥削脆弱性(KEV)目录中,确认其正在被攻击者积极使用。

可能的肇事者?

来自ESET的安全研究人员表示，一个着名的黑客组织Sednit(PDF)(AKA APT28或Fancy Bear)可能参与利用它。ESET的研究人员怀疑Sednit集团可能正在利用这一漏洞作为名为Operation RoundPress的更大计划的一部分,该计划旨在窃取登录详细信息并保持对网络邮件平台的访问。虽然目前没有公开的概念验证(PoC)漏洞,但积极利用突出了用户采取行动的紧迫性。

修补和缓解

好消息是,补丁可用于此漏洞。Zimbra在ZCS版本10.0.7和9.0.0补丁39中解决了这个问题。强烈建议用户立即将Zimbra协作套件更新到这些修补版本,以防止潜在的攻击。