Vulnerabilidade CVE-2024-27443 afeta 129 mil servidores Zimbra
São Paulo — InkDesign News — Uma vulnerabilidade crítica, CVE-2024-27443, foi identificada no Zimbra Collaboration Suite, afetando a funcionalidade CalendarInvite. Esta fraqueza, utilizada ativamente por grupos de hackers, pode comprometer sessões de usuários, exigindo ações imediatas para mitigação.
Incidente e vulnerabilidade
A nova fraqueza de segurança no Zimbra Collaboration Suite (ZCS), uma plataforma de e-mail e colaboração amplamente adotada, se caracteriza como uma falha de cross-site scripting (XSS). Esta vulnerabilidade é originada dentro da funcionalidade CalendarInvite da interface Classic Web Client do Zimbra, consequência de uma validação inadequada das informações nos cabeçalhos de calendário de e-mails. A falha permite que um atacante consiga incluir código malicioso em um e-mail manipulado, e, ao ser aberta por um usuário do Zimbra, executa esse código em seu navegador, resultando em possível acesso ao controle da sessão do usuário. A vulnerabilidade é classificada com uma severidade média, apresentando uma pontuação CVSS de 6,1 e afetando versões 9.0 (patches 1-38) e 10.0 (até 10.0.6).
Impacto e resposta
Com base em dados da Censys, até 22 de maio de 2025, foi registrada uma exposição significativa do Zimbra Collaboration Suite, com 129,131 instâncias potencialmente vulneráveis descobertas em todo o mundo, particularmente em serviços de nuvem. Através de um monitoramento contínuo, foram identificados 33,614 hosts Zimbra on-premises, frequentemente associados à infraestrutura compartilhada. De acordo com a CISA, a vulnerabilidade foi incluída formalmente em seu catálogo de Vulnerabilidades Conhecidas e Exploited (KEV) em 19 de maio de 2025, confirmando a sua exploração ativa por agentes maliciosos. ESET, um laboratório de segurança, suspeita de envolvimento do grupo de hackers Sednit (também conhecido como APT28 ou Fancy Bear). Como afirmou um dos pesquisadores:
Ao que parece, esse grupo pode estar utilizando essa falha como parte de uma operação maior denominada “Operation RoundPress”.
(“This group might be leveraging this flaw as part of a larger scheme called Operation RoundPress.”)— Pesquisador, ESET
Mitigações recomendadas
Felizmente, a Zimbra lançou correções para a vulnerabilidade identificada. Os usuários são fortemente aconselhados a atualizar o Zimbra Collaboration Suite para as versões corrigidas, que são a 10.0.7 e a 9.0.0 Patch 39. O cumprimento dessas orientações é crucial para proteger os dados e as contas de e-mail dos usuários contra possíveis explorações maliciosas. Além das correções disponíveis, recomenda-se que as organizações realizem auditorias de segurança regulares e implementem políticas de segurança robustas.
Com o cenário atual, resta um risco residual para as instâncias não corrigidas. A proatividade em atualizar as plataformas e a vigilância contínua das infraestruturas de e-mail são essenciais na luta contra as ameaças cibernéticas contemporâneas.
Fonte: (Hack Read – Segurança Cibernética)
