Brazil napadnut: Hakovani vojni sistemi

Kako prenosi portal The Hacker News, hakeri su koristili do tada nepoznatu "zero-day" grešku označenu kao CVE-2025-27915, kojom su ubacivali zlonamerni JavaScript kod putem lažnih kalendarskih (ICS) fajlova.

Ranjivost je omogućavala cross-site scripting (XSS) napade. Bilo je dovoljno da korisnik otvori mejl sa priloženim fajlom, nakon čega se zlonamerni kod izvršavao u okviru Zimbra sesije. Time su napadači mogli da pristupe mejlovima, kontaktima, lozinkama i čak da preusmere dolazne poruke na svoje adrese.

Prema izveštaju kompanije StrikeReady, napad je bio pažljivo planiran. Napadači su se predstavljali kao zvaničnici libijske mornarice i slali ICS fajlove koji su pokretali maliciozne skripte. Zlonamerni kod je potom postavljao mejl filtere pod nazivom "Correo" koji su automatski prosleđivali poruke na adresu spam_to_junk@proton.me.

Iako je Zimbra već objavila zakrpe, verzije 9.0.0 Patch 44, 10.0.13 i 10.1.5 od 27. januara ove godine, tek sada se ispostavlja da je propust aktivno korišćen u napadima.

• Koristite Discord? Vaši podaci su možda u rukama hakera
• Interpol uhapsio 260 osumnjičenih za onlajn prevare
• Google kasno zakrpio ranjivost u Chrome-u? Hakeri je već koriste u napadima
• Ako baš morate da delite lozinku, evo kako da to učinite bezbedno

Zanimljivo je da je skripta imala i mehanizme prikrivanja, poput odlaganja aktivacije za nekoliko dana i skrivanja određenih elemenata korisničkog interfejsa, kako bi napad duže ostao neprimećen.

Identitet napadača nije poznat, ali bezbednosni istraživači podsećaju da su ranije grupe povezane sa Rusijom, poput APT28 i Ghostwriter (UNC1151), koristile slične XSS ranjivosti u Zimbra i drugim veb mejl sistemima.

Stručnjaci upozoravaju da korisnici koji još uvek koriste starije verzije Zimbra softvera treba što pre da instaliraju najnovije bezbednosne zakrpe i provere podešene mejl filtere radi otkrivanja mogućeg kompromitovanja.