Des attaquants faisant partie d'**APT28**, un groupe de menace soutenu par l'État et lié au service de renseignement militaire russe (GRU), exploitent une vulnérabilité de **Zimbra Collaboration Suite (ZCS)** dans des attaques visant des entités gouvernementales ukrainiennes. ### CVE-2025-66376 : Une faille XSS de haute gravité Cette faille de sécurité de haute gravité (identifiée comme **CVE-2025-66376** et corrigée début novembre) découle d'une vulnérabilité de type cross-site scripting (XSS) stockée. Des attaquants non authentifiés peuvent l'exploiter pour obtenir l'exécution de code à distance (RCE) et compromettre le serveur Zimbra ainsi que le compte de messagerie de la cible. ### CISA ajoute la vulnérabilité au catalogue des vulnérabilités exploitées connues Mercredi, la Cybersecurity and Infrastructure Security Agency (**CISA**) a ajouté la vulnérabilité à son catalogue des vulnérabilités exploitées dans la nature. La CISA a également ordonné aux agences du Federal Civilian Executive Branch (FCEB) de sécuriser leurs serveurs dans un délai de deux semaines, conformément à la Binding Operational Directive (BOD) 22-01 publiée en novembre 2021. ### L'Opération GhostMail cible l'Ukraine Bien que l'agence de cybersécurité américaine n'ait pas fourni de détails supplémentaires sur l'exploitation en cours de la **CVE-2025-66376**, des chercheurs en sécurité de **Seqrite Labs** ont rapporté la veille que la vulnérabilité XSS de Zimbra avait été exploitée par des hackers militaires d'APT28 dans des attaques contre l'Ukraine. L'Agence d'Hydrologie d'État d'Ukraine (une entité d'infrastructure critique sous le ministère de l'Infrastructure qui fournit un soutien à la navigation, maritime et hydrographique) a été l'une des cibles de cette campagne de phishing (nommée Opération GhostMail). « L'e-mail de phishing ne contient aucune pièce jointe malveillante, aucun lien suspect, aucune macro. Toute la chaîne d'attaque réside dans le corps HTML d'un seul e-mail, il n'y a pas de pièces jointes malveillantes », ont déclaré les chercheurs de Seqrite Labs.  ### Détails de l'attaque Les messages malveillants des hackers d'**APT28** (également connus sous les noms de Fancy Bear, Strontium) délivraient un payload JavaScript obfusqué qui exploite la vulnérabilité **CVE-2025-66376** lorsque le destinataire ouvre l'e-mail dans une session webmail Zimbra vulnérable. « Le script s'exécute silencieusement dans le navigateur et commence à collecter les identifiants, les jetons de session, les codes de 2FA de sauvegarde, les mots de passe enregistrés dans le navigateur, ainsi que le contenu de la boîte aux lettres de la victime remontant à 90 jours, avec toutes les données exfiltrées via DNS et HTTPS », ont ajouté les chercheurs. ### Zimbra : une cible fréquente Les failles de sécurité de Zimbra sont fréquemment ciblées dans les attaques, y compris par des groupes de menace parrainés par l'État russe, et ont été utilisées pour compromettre des milliers de serveurs de messagerie vulnérables ces dernières années. Par exemple, à partir de février 2023, le groupe de cyberespionnage russe Winter Vivern a utilisé un autre exploit XSS réfléchi pour compromettre les portails webmail Zimbra et espionner les communications d'organisations et de personnes alignées sur l'OTAN, y compris des responsables gouvernementaux, du personnel militaire et des diplomates. En octobre 2024, les agences de cybersécurité américaines et britanniques ont également averti que les hackers d'**APT29** (également connus sous les noms de Cozy Bear, Midnight Blizzard) liés au Service de renseignement extérieur russe (SVR) attaquaient les serveurs Zimbra vulnérables « à grande échelle », exploitant une vulnérabilité précédemment utilisée pour voler des identifiants de compte de messagerie. Zimbra est une suite logicielle de messagerie et de collaboration très populaire utilisée par des centaines de millions de personnes, y compris des centaines d'agences gouvernementales et des milliers d'entreprises dans le monde.