Le monde de la sécurité informatique revient sur les serveurs de courrier de Zimbra après que des chercheurs et des agences gouvernementales ont détecté des exploits actifs profitant d'un grave échec dans Zimbra Collaboration Suite (ZCS). C'est une question de vulnérabilité. CVE-2025-66376, une erreur de script Cross-site Stored (XSS) qui, dans les environnements vulnérables, peut être la première étape pour réaliser l'exécution de code à distance et prendre le contrôle du serveur de messagerie et des comptes individuels.
Zimbra elle-même a publié un patch en novembre pour corriger l'échec; les versions et les mises à jour touchées sont détaillées dans son avis de publication, de sorte que la recommandation immédiate pour les administrateurs est d'appliquer ces patchs dès que possible. La note officielle de l'entreprise est disponible sur son blog technique: Libération des lots - Zimbra 10.1.13 / 10.0.18. L'échec est également mentionné dans le catalogue de vulnérabilité NVD : CVE-2025-66376 (NVD).
La gravité de l'affaire s'est aggravée lorsque la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a accru sa vulnérabilité à son catalogue des vulnérabilités exploitées dans la pratique et a ordonné aux organismes fédéraux de corriger leurs serveurs dans les deux semaines, en application de la Directive opérationnelle contraignante 22-01. L'avertissement et l'inclusion dans le catalogue soulignent l'exploitation active sur le terrain et l'obligation d'atténuer dans les environnements fédéraux : Avis de la CISA sur l'inclusion de CVE-2025-66376 et accès au catalogue des vulnérabilités exploitées Voilà.. La directive contraignante qui impose une réponse rapide est disponible sur le site Internet de la CISA: BOD 22-01.
Sur le plan opérationnel, le groupe APT28 - lié au renseignement militaire russe (GRU) et aussi connu sous le nom de Fancy Bear ou Strontium - a été attribué par des chercheurs à des campagnes qui abusent de cette vulnérabilité pour attaquer des entités ukrainiennes. Le laboratoire Seqrite a publié une analyse technique de la campagne Opération GhostMail, où il documente comment les attaquants envoient des emails sans attaches malveillantes ou liens suspects: la chaîne d'attaque réside entièrement dans le corps HTML du message. Le rapport Seqrite est disponible à l'adresse suivante: Opération GhostMail - Seqrite Labs.
Le mécanisme décrit par les chercheurs est techniquement simple mais efficace: le courrier livre un JavaScript affusé qui profite du XSS stocké lorsque le destinataire ouvre le message dans une session de webmail Zimbra vulnérable. Le script fonctionne silencieusement dans le navigateur de l'utilisateur et commence à collecter des identifiants, des jetons de session, des codes de sauvegarde d'authentification à deux facteurs, des mots de passe enregistrés dans le navigateur et jusqu'au contenu de la boîte aux lettres depuis 90 jours, en envoyant ces informations aux serveurs des attaquants via des canaux tels que DNS et HTTPS. Ce comportement transforme un message simple en une intrusion complète sans besoin de pièces jointes ou de macros.
Ce type d'exploitation n'est pas nouveau dans l'écosystème Zimbra : la plateforme a été une cible récurrente pour les acteurs étatiques et criminels. Dans les campagnes précédentes, des entreprises russes avaient déjà abusé de XSS et d'autres vecteurs à Zimbra pour espionner les communications d'organisations alignées sur l'OTAN et compromettre des milliers de serveurs vulnérables dans différentes vagues d'intrusion. La récurrence du risque a à voir avec l'adoption généralisée de Zimbra dans les gouvernements et les entreprises, faisant de tout échec exploitable un vecteur à fort impact.
Si vous gérez des serveurs Zimbra ou des comptes qui dépendent de cette infrastructure, il existe un certain nombre de mesures urgentes qui doivent être mises en œuvre de manière coordonnée et prioritaire. La première et la plus critique est d'appliquer la mise à jour Zimbra officielle qui corrige le CVE-2025-66376. En outre, valider les politiques de blocage du courrier HTML dans des environnements sensibles, renforcer le contrôle de l'accès aux consoles administratives, examiner les enregistrements et l'activité de la boîte aux lettres, forcer la rotation des lettres d'identité et des clés de sauvegarde 2FA lorsqu'il y a soupçon d'engagement, et contrôler le trafic sortant (y compris les consultations DNS) pour détecter ou bloquer l'exfiltration atypique sont des étapes qui réduisent le risque tout en complétant la correction.
Au-delà de l'atténuation technique spécifique, l'inclusion de la vulnérabilité dans le catalogue de la CISA et l'ordre donné aux organismes fédéraux rappellent que la réponse aux incidents et l'hygiène de base - stationnement rapide, surveillance et segmentation du réseau - demeurent la défense la plus efficace contre les campagnes dirigées par des acteurs avancés. Pour les administrateurs qui ont besoin de la référence officielle du patch, la note Zimbra indique les versions corrigées et les étapes recommandées: Emplacement et mise à jour - Zimbra et l'avis de la CISA met en contexte la menace et les obligations dans le secteur public : Alerte de la CISA.
La leçon pour les petites et grandes organisations est claire : les portes d'entrée peuvent être dans des endroits qui ne semblent pas dangereux- un courrier sans pièces jointes ou liens peut être suffisant pour compromettre un système entier si le service de courrier présente une vulnérabilité exploitable. Maintenir un logiciel à jour, réduire la surface d'attaque (par exemple, désactiver le rendu HTML actif dans le Webmail quand cela n'est pas nécessaire) et préparer des plans d'intervention qui comprennent la révocation d'accès rapide et l'inspection du trafic sortant sont des mesures qui font la différence lorsque des campagnes sophistiquées comme Opération GhostMail apparaissent.
Si vous souhaitez approfondir les détails techniques de l'explosion ou avoir besoin des références mentionnées dans cet article, voici les sources consultées : l'enregistrement de la vulnérabilité dans le NVD ( CVE-2025-66376), la notice du patch Zimbra ( Libération des patchs Zimbra), le rapport technique de Seqrite sur l'opération GhostMail ( Laboratoires Seqrit) et la communication officielle de la CISA ( Alerte de la CISA), en plus du catalogue des vulnérabilités exploitées ( Catalogue des vulnérabilités exploitées).
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...