Plus de 10 500 cas Zimbra exposés sur Internet restent vulnérables aux attaques actives Selon le suivi de l'ONG de sécurité Shadowserver, et l'échec touché (CVE-2025-48700) a déjà été identifié comme étant exploité dans la nature par la U.S. Infrastructure and Cybersecurity Agency. États-Unis (CISA). Zimbra est une plateforme de courrier et de collaboration largement déployée dans les gouvernements et les entreprises; cette combinaison de popularité et de serveurs exposés fait de tout échec critique une cible de haute performance pour les acteurs criminels et étatiques.
En termes techniques, le CVE-2025-48700 est une vulnérabilité à l'inscription croisée (XSS) qui permet à JavaScript arbitraire de fonctionner dans le contexte de la session utilisateur lorsqu'il visualise un message malveillant dans l'interface Zimbra classique. Selon l'avis du fabricant, l'opération n'exige aucune interaction utilisateur supplémentaire à activer, ce qui augmente son danger parce qu'un message qui s'ouvre simplement peut permettre le vol d'identifications, l'enlèvement de sessions et l'exfiltration de courriels.
Synacor a publié des patchs en juin 2025 pour les versions concernées - y compris ZCS 8.8.15, 9.0, 10.0 et 10.1 - et depuis lors, les chercheurs ont décrit des campagnes qui profitent des mêmes échecs pour distribuer des charges JavaScript surutilisées et voler des informations dans des sessions de webmail vulnérables. Vous pouvez vérifier l'enregistrement public de l'échec dans la base de données sur la vulnérabilité nationale du NVD : CVE-2025-48700 en NVD et la propre note de sécurité de Zimbra et les correctifs dans le Wiki de Zimbra / Synacor: Avis de sécurité Zimbra.
La reconnaissance des risques était suffisante pour CISA ajoute une vulnérabilité à son catalogue de vulnérabilités exploitées (KEV) et de publier des lignes directrices à l'intention des organismes fédéraux pour les atténuer en priorité. L'ajout de KEV implique des obligations accélérées de remise en état pour certaines entités et, surtout, sert d'indicateur de l'exploitation dans le monde réel : Entrée de la CISA dans le catalogue KEV.
Shadowserver, qui suit les services exposés, signale que la plupart des serveurs sans patch sont en Asie et en Europe, ce qui indique une large opportunité pour les attaquants. Historiquement, les défauts Zimbra ont été utilisés par des APT connus - tels que APT28 (Fancy Bear) et APT29 (Cozy Bear) - pour des campagnes de phishing qui ne dépendent pas des pièces jointes ou des macros, mais vivent entièrement dans le HTML du courrier et XSS pour exécuter des charges utiles malveillantes lorsque la victime ouvre le message.
Quel risque particulier cela présente-t-il pour votre organisation? Un serveur webmail engagé permet à un attaquant de collecter des courriels entrants et sortants, d'intercepter des jetons d'authentification, de s'approcher d'autres systèmes internes et de mettre en place des campagnes de suplantation dans des directions légitimes. Dans les milieux gouvernementaux ou les infrastructures essentielles, l'exposition peut entraîner la perte de renseignements, la filtration de données sensibles ou l'accès initial à des attaques plus importantes.
La mesure immédiate recommandée est d'appliquer les correctifs Zimbra officiels sans délai et de valider l'installation. Si, pour des raisons opérationnelles, un patch immédiat n'est pas possible, Atténuation temporaire qui réduisent les risques comprennent la restriction de l'accès du public au webmail à des gammes IP ou VPN fiables, la mise en œuvre de règles Web Application Firewall (WAF) pour bloquer les charges utiles suspectes dans le corps des emails, forçant le rétablissement des identifiants et l'activation de l'authentification multifactorielle pour tous les utilisateurs du web mail. Shadowserver maintient un panneau public avec des métriques sur les serveurs affectés qui peuvent servir à prioriser les détections : Panneau d'ombre sur CVE-2025-48700.
Il ne suffit pas de se garer : il est essentiel de déterminer s'il y a déjà eu un engagement. Les organisations devraient rechercher des indicateurs d'accès anormaux dans les journaux de courrier et de Web, les en-têtes de revue et les organes de poste pour les modèles de JavaScript osfusés, les comptes d'audit avec activité hors-plan et surveiller les connexions sortantes des serveurs de courrier. Si un engagement est confirmé, la réponse devrait comprendre le confinement du serveur touché, l'analyse médico-légale, la rotation des pouvoirs et la notification aux parties concernées et aux autorités compétentes conformément aux règles applicables.
La récurrence des campagnes qui abusent des vulnérabilités dans Zimbra démontre deux réalités : la dépendance critique du courrier comme vecteur d'attaque et la lenteur avec laquelle de nombreux administrateurs appliquent des mises à jour dans les services exposés. Les dirigeants de l'informatique et de la cybersécurité devraient privilégier l'hygiène de base : stationnement rapide, segmentation d'accès et authentification forte car dans la pratique ces mesures sont celles qui réduisent la zone d'attaque plus efficacement contre les campagnes déjà automatisées et en cours.
Si vous avez besoin de documents officiels pour gérer le patch ou l'assainissement, consultez les pages du fabricant et les avis de l'agence de sécurité pour vous assurer d'appliquer les corrections correctes et l'atténuation du temps recommandé. La fenêtre pour agir est courte : les serveurs exposés restent des cibles actives et chaque jour sans patch augmente la probabilité d'intrusion.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...