O mundo da segurança informática volta a olhar para os servidores de e-mail de Zimbra depois de pesquisadores e agências governamentais detectarem explots ativos aproveitando uma falha grave em Zimbra Collaboration Suite (ZCS). Trata-se da vulnerabilidade CVE-2025-66376, um erro do tipo stored cross-site scripting (XSS) que, em ambientes vulneráveis, pode ser o primeiro passo para conseguir execução remota de código e tomar o controle do servidor de e-mail e de contas individuais.
A própria Zimbra postou um adesivo em novembro para corrigir a falha; as versões afetadas e as atualizações estão detalhadas em seu aviso de lançamento, pelo que a recomendação imediata para administradores é aplicar esses adesivos quanto antes. Você pode consultar a nota oficial da empresa em seu blog técnico: Patch release — Zimbra 10.1.13 / 10.0.18. O erro também aparece referenciado no catálogo de vulnerabilidades do NVD: CVE-2025-66376 (NVD).
A gravidade do assunto escalou quando a Cybersecurity and Infrastructure Security Agency (CISA) dos Estados Unidos acrescentou a vulnerabilidade à sua catalogo de vulnerabilidades exploradas na prática e ordenou às agências federais corrigir seus servidores no prazo de duas semanas, em aplicação da Binding Operational Directive 22-01. O alerta e a inclusão no catálogo sublinham que há exploração ativa no terreno e a obrigação de mitigar em ambientes federais: Aviso de CISA sobre a inclusão de CVE-2025-66376 e acesso ao catálogo de vulnerabilidades exploradas aqui. A directiva vinculativa que força a resposta rápida está disponível no site da CISA: BOD 22-01.
No plano operacional, o grupo APT28 — adaptado à inteligência militar russa (GRU) e conhecido também como Fancy Bear ou Strontium — foi atribuído por pesquisadores a campanhas que abusam desta vulnerabilidade para atacar entidades ucranianas. O laboratório Seqrite publicou uma análise técnica da campanha batizada como Operation GhostMail, onde documenta como os atacantes enviam e-mails sem anexos maliciosos ou links suspeitos: a cadeia de ataque reside na íntegra no corpo HTML da mensagem. O relatório do Seqrite está disponível em: Operation GhostMail — Seqrite Labs.
O mecanismo descrito pelos pesquisadores é tecnicamente simples, mas efetivo: o e-mail entrega um JavaScript ofuscado que aproveita o XSS armazenado quando o destinatário abre a mensagem em uma sessão webmail de Zimbra vulnerável. O script é executado silenciosamente no navegador do usuário e começa a coletar credenciais, tokens de sessão, códigos de backup de autenticação de dois fatores, senhas gravadas no navegador e até o conteúdo da caixa de correio dos últimos 90 dias, enviando essa informação aos servidores dos atacantes por canais como DNS e HTTPS. Esse comportamento converte uma mensagem simples numa intrusão completa sem necessidade de arquivos anexos ou macros.
Este tipo de exploração não é novo no ecossistema de Zimbra: a plataforma tem sido um objetivo recorrente para atores estatais e criminosos. Em campanhas anteriores assinaturas ligadas à Rússia já haviam abusado de falhas XSS e outros vetores em Zimbra para espionar comunicações de organizações alinhadas com a OTAN e para comprometer milhares de servidores vulneráveis em diferentes ondas de intrusão. A recorrência do risco tem a ver com a ampla adoção de Zimbra em governos e empresas, o que torna qualquer falha explorável em um vetor de alto impacto.
Se você administra servidores Zimbra ou gerencia contas que dependem dessa infraestrutura, há uma série de medidas urgentes que convém implementar de forma coordenada e com prioridade. A primeira e mais crítica é aplicar a atualização oficial de Zimbra que corrige a CVE-2025-66376. Além disso, validar políticas de bloqueio de e-mail HTML em ambientes sensíveis, endurecer o controle de acesso a consoles administrativos, rever registros de login e atividade de buzones, forçar a rotação de credenciais e chaves de apoio 2FA quando houver suspeita de compromisso, e controlar o trafico cessante (incluindo consultas DNS) para detectar ou bloquear exfiltração atípica são passos que reduzem o risco enquanto a correção é completa.
Além de mitigações técnicas pontuais, a inclusão da vulnerabilidade no catálogo de CISA e a ordem a agências federais servem como lembrete de que a resposta a incidentes e a higiene básica —parcheo rápido, monitoramento e segmentação de redes — continuam sendo a defesa mais eficaz contra campanhas direcionadas por atores avançados. Para administradores que necessitem da referência oficial do adesivo, a nota de Zimbra indica as versões corrigidas e passos recomendados: Parche e actualização — Zimbra, e o aviso de CISA contextualiza a ameaça e as obrigações no setor público: Alerta de CISA.
A lição para organizações pequenas e grandes é clara: as portas de entrada podem estar em lugares que não parecem perigosos — um e-mail sem anexos ou links pode ser suficiente para comprometer um sistema inteiro se o serviço de e-mail apresentar uma vulnerabilidade explorável. Manter software atualizado, reduzir a superfície de ataque (por exemplo, desativando renderização ativa de HTML em webmail quando não for necessário) e preparar planos de resposta que incluam a revogação rápida de acessos e a inspeção de tráfego saliente são medidas que marcam a diferença quando aparecem campanhas sofisticadas como Operation GhostMail.
Se você quer aprofundar os detalhes técnicos do exploit ou precisar as referências citadas neste artigo, aqui estão as fontes consultadas: o registro da vulnerabilidade no NVD ( CVE-2025-66376), o aviso de adesivo de Zimbra ( Zimbra Patch Release), o relatório técnico do Seqrite sobre o Operation GhostMail ( Seqrite Labs) e a comunicação oficial da CISA ( Alerta de CISA), além do catálogo de vulnerabilidades exploradas ( Known Exploited Vulnerabilities Catalog).
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...