Mais de 10.500 instâncias de Zimbra expostas na Internet permanecem vulneráveis a ataques ativos, segundo o monitoramento da ONG de segurança Shadowserver, e a falha afetada (CVE-2025-48700) já foi identificada como explorada na natureza pela Agência de Segurança de Infra-estruturas e Cibersegurança dos EUA. EUA (CISA). Zimbra é uma plataforma de correio e colaboração amplamente desenvolvida em governos e empresas; essa combinação de popularidade e servidores expostos converte qualquer falha crítica em um objetivo de alto desempenho para atores criminosos e estaduais.
Em termos técnicos, CVE-2025-48700 é uma vulnerabilidade de cross-site scripting (XSS) que permite a execução de JavaScript arbitrário no contexto da sessão do usuário quando este visualiza uma mensagem malicioso na interface clássica de Zimbra. De acordo com o aviso do fabricante, a exploração não requer qualquer interação adicional do usuário para se ativar, o que aumenta sua perigosidade porque uma mensagem que simplesmente se abre pode permitir o roubo de credenciais, o sequestro de sessões e a ex-filtração de e-mails.
Synacor postou adesivos em junho de 2025 para as versões afetadas — incluindo ZCS 8.8.15, 9.0, 10.0 e 10.1 — e desde então pesquisadores descreveram campanhas que aproveitam falhas semelhantes para distribuir cargas de JavaScript ofuscado e roubar informações dentro de sessões webmail vulneráveis. Você pode consultar o registro público da falha na base de dados nacional de vulnerabilidades em NVD: CVE-2025-48700 em NVD, e a nota de segurança e adesivos do próprio Zimbra na Wiki de Zimbra/Synacor: avisos de segurança do Zimbra.
O reconhecimento de risco foi suficiente para que CISA acrescenta a vulnerabilidade ao seu catálogo de Known Exploited Vulnerabilities (KEV) e emitir orientações para que as agências federais a atenuassem com prioridade. O agregado ao KEV implica obrigações de remediação acelerada para certos entes e, sobretudo, serve como indicador de que a exploração está ocorrendo no mundo real: entrada da CISA no catálogo KEV.
Shadowserver, que rastreia serviços expostos, relata que a maioria dos servidores sem adesivos estão na Ásia e na Europa, o que indica uma janela de oportunidade ampla para atacantes. Historicamente, falhas em Zimbra foram usadas por APTs conhecidos (como APT28 (Fancy Bear) e APT29 (Cozy Bear)— para campanhas de phishing que não dependem de arquivos anexos ou macros, mas vivem inteiramente dentro do HTML do e-mail e do XSS para executar payloads maliciosos quando a vítima abre a mensagem.
Qual é o risco específico para a sua organização? Um servidor webmail comprometido permite a um atacante coletar e-mails entrantes e salientes, interceptar tokens de autenticação, pivotar para outros sistemas internos e montar campanhas de suplantação a partir de endereços legítimos. Em ambientes governamentais ou infra-estruturas críticas, a exposição pode traduzir-se em perda de inteligência, filtragem de dados sensíveis ou acesso inicial para ataques de maior envergadura.
A ação imediata recomendada é aplicar os adesivos oficiais de Zimbra sem demora e validar a instalação. Se por razões operacionais não for possível um adesivo imediato, mitigações temporárias que reduzem o risco incluem restringir o acesso público ao webmail a intervalos de IP confiáveis ou VPN, implementar regras da Web Application Firewall (WAF) para bloquear payloads suspeitos no corpo dos e-mails, forçar a restauração de credenciais e ativar autenticação multifator para todos os usuários de e-mail. Shadowserver mantém um painel público com métricas sobre servidores afetados que pode servir para priorizar detecções: painel de Shadowserver sobre CVE-2025-48700.
Não basta para o sistema transdérmico: É imprescindível detectar se já houve compromisso. As organizações devem procurar indicadores de acesso anormais nos logs de e-mail e web, revisar cabeçalhos e e-mails para padrões de JavaScript ofuscado, auditar contas com atividade fora de horário e monitorar conexões salientes a partir de servidores de e-mail. Se for confirmado um compromisso, a resposta deve incluir contenção do servidor em causa, análise forense, rotação de credenciais e notificação às partes interessadas e às autoridades competentes de acordo com as regras aplicáveis.
A recorrência de campanhas que abusam de vulnerabilidades em Zimbra demonstra duas realidades: a dependência crítica do correio como vetor de ataque e a lentidão com que muitos administradores aplicam atualizações em serviços expostos. Os responsáveis pela TI e cibersegurança devem priorizar a higiene básica: adesivo rápido, segmentação de acesso e autenticação forte, porque na prática essas medidas são as que reduzem de forma mais eficaz a superfície de ataque frente a campanhas já automatizadas e em curso.
Se necessitar de documentação oficial para gerir o adesivo ou remediação, consulte as páginas do fabricante e os avisos de agências de segurança para garantir a aplicação das correcções correctas e das atenuações temporárias recomendadas. A janela para agir é curta: os servidores expostos ainda são objetivos ativos e cada dia sem adesivo aumenta a probabilidade de intrusão.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...