Falha XSS CVE-2024-27443 no Zimbra atinge 129 mil servidores e suspeita de Sednit

Uma vulnerabilidade crítica de XSS, CVE-2024-27443, no recurso CalendarInvite do Zimbra Collaboration Suite está sendo explorada ativamente, possivelmente pelo grupo de hackers Sednit. Saiba como essa falha permite que invasores comprometam sessões de usuários e por que a correção imediata é crucial.

Uma nova falha de segurança foi descoberta no Zimbra Collaboration Suite (ZCS) , uma popular plataforma de e-mail e colaboração. Este problema, classificado como CVE-2024-27443, é um tipo de falha de script entre sites (XSS) que pode permitir que invasores roubem informações ou assumam o controle de contas de usuários.

O problema está especificamente no recurso CalendarInvite da interface do Cliente Web Clássico do Zimbra. Isso ocorre porque o sistema não verifica corretamente as informações recebidas no cabeçalho do Calendário dos e-mails.

Essa falha cria uma brecha para um ataque de XSS armazenado. Isso significa que um invasor pode incorporar código malicioso em um e-mail especialmente projetado. Quando um usuário abre esse e-mail usando a interface clássica do Zimbra, o código malicioso é executado automaticamente em seu navegador, permitindo que o invasor acesse sua sessão. A gravidade dessa vulnerabilidade é classificada como média, com uma pontuação CVSS de 6,1. Ela afeta as versões 9.0 (patches 1 a 38) e 10.0 (até 10.0.6) do ZCS.

De acordo com a Censys, uma empresa de insights de segurança cibernética, na quinta-feira, 22 de maio de 2025, quando o relatório original foi publicado, um número significativo de instâncias do Zimbra Collaboration Suite foram expostas on-line e podem ser vulneráveis.

A Censys observou um total de 129.131 instâncias ZCS potencialmente vulneráveis ​​em todo o mundo, com a maioria delas localizada na América do Norte, Europa e Ásia. A grande maioria delas está hospedada em serviços de nuvem. Além disso, foram identificados 33.614 hosts Zimbra locais, frequentemente vinculados a infraestrutura compartilhada.

A vulnerabilidade foi oficialmente adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA em 19 de maio de 2025, confirmando que está sendo usada ativamente por invasores.

Pesquisadores de segurança da ESET sugeriram que um conhecido grupo de hackers, o Sednit (PDF) (também conhecido como APT28 ou Fancy Bear), pode estar envolvido na exploração da falha. Os pesquisadores da ESET suspeitam que o grupo Sednit possa estar explorando essa falha como parte de um esquema maior chamado Operação RoundPress , que visa roubar detalhes de login e manter o acesso a plataformas de webmail. Embora atualmente não haja nenhuma prova de conceito (PoC) pública, a exploração ativa destaca a urgência de os usuários agirem.

A boa notícia é que há patches disponíveis para essa vulnerabilidade. O Zimbra corrigiu o problema na versão 10.0.7 do ZCS e no Patch 39 da 9.0.0 . Recomenda-se fortemente que os usuários atualizem seu Zimbra Collaboration Suite para essas versões corrigidas imediatamente para se protegerem contra possíveis ataques.