Plus de 10 000 instances de Zimbra Collaboration Suite (ZCS) sont actuellement vulnérables à des attaques en ligne exploitant une faille de type cross-site scripting (XSS), selon l’organisation de sécurité Shadowserver.
Utilisé par des centaines de millions d’utilisateurs à travers le monde, Zimbra est particulièrement prisé par de nombreuses agences gouvernementales et entreprises.
La vulnérabilité, identifiée sous le code CVE-2025-48700, touche les versions ZCS 8.8.15, 9.0, 10.0 et 10.1. Celle-ci permettrait à des attaquants non authentifiés d’accéder à des informations sensibles en exécutant du JavaScript arbitraire dans la session utilisateur.
En juin 2025, Synacor a publié des correctifs de sécurité pour remédier à cette faille, tout en précisant que son exploitation ne nécessite aucune interaction de l’utilisateur. La simple ouverture d’un e-mail malveillant dans l’interface classique de Zimbra suffirait.
Lundi, la CISA a ajouté la vulnérabilité CVE-2025-48700 à son Known Exploited Vulnerabilities (KEV) Catalog, faisant état d’une exploitation active de la faille. L’agence de cybersécurité américaine a également exigé que les agences du Federal Civilian Executive Branch (FCEB) sécurisent leurs serveurs Zimbra dans un délai de trois jours, soit jusqu’au 23 avril.
Vendredi, Shadowserver a averti que plus de 10 500 serveurs Zimbra restaient non corrigés, en grande partie localisés en Asie (3 794) et en Europe (3 793).
Bien que la CISA n’ait pas fourni de détails sur les attaques exploitant CVE-2025-48700, une autre vulnérabilité XSS, référencée comme CVE-2025-66376 et corrigée début novembre, a été utilisée par le groupe de hackers soutenu par l’État, APT28 (également connu sous le nom de Fancy Bear, Strontium), dans des campagnes de phishing ciblant des entités gouvernementales ukrainiennes dès janvier.
Cette campagne de phishing, désignée sous le nom d’Operation GhostMail par des chercheurs en sécurité, a également ciblé l’Agence d’État de l’hydrologie d’Ukraine, une entité d’infrastructure critique du ministère des Infrastructures. Lors de l’ouverture des e-mails malveillants, une charge utile JavaScript obfusquée était délivrée dans les sessions de webmail Zimbra vulnérables.
Selon Seqrite Labs, « L’e-mail de phishing ne contient ni pièces jointes malveillantes, ni liens suspects, ni macros. L’intégralité de la chaîne d’attaque réside dans le corps HTML d’un seul e-mail, sans pièces jointes malveillantes. »
Les failles de Zimbra sont fréquemment exploitées dans des attaques, ayant permis de compromettre des milliers de serveurs de messagerie vulnérables ces dernières années. Par exemple, en février 2023, des cyberespions russes, connus sous le nom de Winter Vivern, ont utilisé une autre faille de type XSS pour attaquer des portails de messagerie Zimbra et soutirer des e-mails de personnes et organisations alignées avec l’OTAN.
Plus récemment, en octobre 2024, des agences de cybersécurité des États-Unis et du Royaume-Uni ont alerté que des hackers basés sur des groupes comme APT29 (aussi appelé Cozy Bear ou Midnight Blizzard) ciblaient des serveurs Zimbra vulnérables à une échelle massive, exploitant un problème de sécurité qui avait déjà été utilisé pour dérober des informations d’identification de comptes e-mail.