رُصد استغلال فعلي لثغرة محفوظة من نوع XSS في العميل الكلاسيكي لمنصة Zimbra Collaboration (CVE-2025-27915) عبر ملفات تقويم بصيغة ICS تحوي شيفرة جافاسكربت خبيثة. عند فتح أو عرض رسالة تحتوي الملف، تُنفَّذ الشيفرة ضمن جلسة المستخدم، ما يتيح للمهاجمين تنفيذ إجراءات غير مصرح بها داخل حساب البريد، بما في ذلك إنشاء قواعد ترشيح وإعادة توجيه الرسائل وسرقة محتوى الصناديق والبيانات الاعتمادية.
آلية الاستغلال والتأثيرات العملية
يعتمد الاستغلال على إدخال جافاسكربت في حقل تقويم ICS يستدعي حدثاً داخل عنصر HTML عند العرض؛ ثم تقوم الشيفرة بعملية جمع شاملة للبيانات — الاعتمادات، الرسائل، جهات الاتصال، والمجلدات المشتركة — وإرسالها إلى خادم خارجي تحكمه الجهة المهاجمة. كما تضيف الشيفرة قواعد تصفية باسم معين لإعادة توجيه رسائل محددة إلى عنوان خارجي، وتتبنّى سلوكيات تمويه مثل إخفاء عناصر واجهة المستخدم وتأخير التفجير إلى ما بعد فترة زمنية محددة لتفادي الكشف المبكر. هذه القدرات تحول بريد المؤسسة إلى قناة تسلل ومصدرٍ لِتسريب المعلومة أو تلاعب بصياغة الاتصالات.
نطاق الاستهداف والاعتبارات الاستخباراتية
تشير مؤشرات الحملة إلى استهداف مؤسسات عسكرية في البرازيل، مع رسائل انتحال تشير إلى جهة دبلوماسية/بحرية خارجية لزيادة موثوقية الهجوم. لم تُعلن جهة مسؤولة بشكل قاطع، ولا تُقدم الخصائص التقنية وحدها نسبًا حاسمة، لكن الأسلوب يتماشى مع حملات سابقة اعتمدت ثغرات XSS في منصات ويبميل لسرقة الاعتمادات وبناء بوابات استمرارية للاختراق. لذلك تبقى مراقبة سلاسل الاتصالات والربط مع استخبارات الأحداث ضرورية لتحديد الفاعل بدقة.
توصيات فنية فورية
-
ترقية خوادم Zimbra المتأثرة فورًا إلى نسخ التصحيح الصادرة في 27 يناير 2025 أو الأحدث.
-
فحص قواعد التصفية على مستوى المستخدم والخادم بحثًا عن قواعد غريبة أو إضافية (احرصوا على مراجعة قواعد باسم “Correo” أو أي قواعد توجيه لعنوان خارجي).
-
فحص سجلات الجلسات وطلبات الشبكة بحثًا عن اتصالات خارجة غير معتادة أو توجيهات نحو نطاقات/عناوين مشبوهة، وإجراء تحليل رقمي للحوادث على الحسابات المشبوهة.
-
تعطيل عرض أو تنفيذ جافاسكربت داخل مرفقات ICS، أو عزل تفسير ملفات التقويم في بيئة عرض آمنة، وتطبيق تنقية صارمة لمحتوى HTML في المرفقات.
-
تدوير كلمات المرور للحسابات المُحتملة التعرض، تفعيل المصادقة متعددة العوامل، وإخطار أصحاب الحسابات وإجراء مسح أمني شامل.
-
تعزيز مراقبة البريد وإعداد قواعد كشف سلوكيات إعادة التوجيه المفاجئ وتنبيهات على أي تغييرات في قواعد التصفية.
