Агентство кибербезопасности и безопасности инфраструктуры (CISA) издало обязательную директиву, предписывающую всем федеральным гражданским исполнительным агентствам (FCEB) США устранить критическую, активно эксплуатируемую уязвимость в платформе для совместной работы Zimbra Collaboration Suite (ZCS). Уязвимость, зарегистрированная как CVE-2025-66376, представляет собой опасную уязвимость типа stored cross-site scripting (XSS) в классическом интерфейсе платформы. Согласно рекомендациям, удаленные злоумышленники без аутентификации могут эксплуатировать эту уязвимость, злоупотребляя директивами @import каскадных таблиц стилей (CSS) в HTML-письмах. Успешная эксплуатация может позволить выполнить произвольный JavaScript-код, что потенциально приведет к захвату сессий пользователей и краже конфиденциальных данных из скомпрометированных сред Zimbra. Разработчик Zimbra, компания Synacor, выпустил патч для уязвимости в начале ноября, но не раскрыл публично полный спектр потенциальных последствий.
CISA добавила CVE-2025-66376 в свой каталог известных эксплуатируемых уязвимостей (KEV) в среду, что активировало обязательные требования по устранению в соответствии с Обязательной оперативной директивой (BOD) 22-01. Эта директива, принятая в ноябре 2021 года, обязывает федеральные агентства устранять уязвимости, внесенные в каталог KEV, в строгие сроки. Для данной конкретной уязвимости агентствам был установлен двухнедельный срок, требующий обезопасить все затронутые серверы Zimbra к 1 апреля. Хотя обязательное предписание применяется конкретно к федеральным агентствам, CISA настоятельно рекомендует всем организациям, включая частный бизнес и органы власти штатов/местного самоуправления, использующие Zimbra, уделить первоочередное внимание устранению этой уязвимости в связи с ее активной эксплуатацией в реальных условиях.
Срочность этой директивы подчеркивается широким распространением Zimbra. Как ведущая платформа для электронной почты и совместной работы, Zimbra используется сотнями миллионов пользователей по всему миру, включая тысячи предприятий и многочисленные государственные учреждения. Ее центральная роль в коммуникациях и хранении данных делает ее высокоценной целью для киберпреступников и государственных хакерских групп. Неисправленная XSS-уязвимость в такой системе предоставляет прямой вектор для запуска фишинговых кампаний, кражи учетных данных и ведения шпионажа изнутри того, что кажется доверенной средой.
Это предписание является частью продолжающейся стратегии CISA по обеспечению проактивной кибергигиены в федеральных сетях и повышению базового уровня безопасности критически важного программного обеспечения, используемого по всей стране. Используя директиву BOD 22-01, CISA может принуждать к быстрым действиям по устранению уязвимостей, подтвержденных как активно используемые в атаках, сокращая тем самым окно возможностей для противников. Организациям, использующим Zimbra, рекомендуется немедленно применить соответствующие патчи, предоставленные Synacor. Кроме того, командам безопасности следует отслеживать признаки компрометации, такие как аномальная активность электронной почты или несанкционированное выполнение скриптов, и рассмотреть возможность реализации более широких мер безопасности электронной почты для фильтрации вредоносного HTML-контента до его попадания в среду Zimbra.
