CVE-2025-66376 : Zimbra XSS UAC-0233 Ukraine au KEV

Les faits

La CVE-2025-66376 est une vulnérabilité de cross-site scripting (XSS) de type stocké affectant Zimbra Collaboration Suite, plateforme de messagerie collaborative déployée chez de nombreuses administrations, universités et entreprises. Le score CVSS attribué par NVD/NIST est 5.4 (vecteur AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N), mais l'impact opérationnel observé sur le terrain est très supérieur : exfiltration silencieuse du contenu de boîtes mail entières, sans interaction utilisateur au-delà de la simple consultation d'un email malveillant.

Le vecteur d'attaque est particulièrement subtil. La vulnérabilité réside dans le moteur de rendu HTML de la webmail Zimbra, qui n'assainit pas correctement les directives CSS @import contenues dans les feuilles de style intégrées aux emails. Un attaquant peut forger un message HTML contenant une balise <style> avec un @import url("javascript:..."), ou utiliser des constructions CSS plus évoluées pour exfiltrer des données via des sélecteurs d'attribut qui déclenchent des requêtes HTTP vers un domaine contrôlé. Selon les détails publiés par Synacor, la chaîne d'exploitation contourne le filtre HTML standard via une combinaison spécifique de wrappers de commentaires CSS et d'encodage hexadécimal.

Les versions affectées couvrent l'ensemble des branches maintenues : Zimbra Collaboration Suite 8.8.15 (jusqu'à P46), 9.0.0 (jusqu'à P44), 10.0.x (jusqu'à 10.0.12), et 10.1.x (jusqu'à 10.1.4). Les patches correctifs ont été publiés progressivement par Synacor entre janvier et février 2026, mais le déploiement est resté très lent dans la base installée — d'où l'ampleur actuelle de l'exposition.

D'après une investigation conjointe du CERT-UA (Computer Emergency Response Team d'Ukraine) et de plusieurs équipes de threat intelligence privées, le groupe UAC-0233 exploite cette vulnérabilité depuis septembre 2025 dans des campagnes ciblant des entités gouvernementales, militaires et industrielles ukrainiennes. La méthode est rodée : envoi d'un email piégé à une boîte cible, le simple clic d'ouverture déclenche le payload JavaScript qui s'exécute dans le contexte de la session Zimbra. Le script exfiltre alors le contenu de la boîte mail vers un serveur de commande, archive les correspondances dans un fichier TGZ, et capture les codes de récupération MFA, mots de passe d'application et le carnet d'adresses global de l'organisation.

L'ampleur opérationnelle est documentée par le rapport CERT-UA : plusieurs administrations ukrainiennes ont été compromises de manière persistante, avec extraction massive de courriers échangés sur plusieurs mois. Les opérateurs ont chaîné CVE-2025-66376 avec CVE-2025-48700, une autre faille XSS dans le composant calendrier Zimbra, pour étendre la collecte aux entrées de planning et aux invitations envoyées hors ligne. Le scénario d'attaque ne nécessite qu'une seule action : que la victime ouvre l'email — pas même qu'elle clique sur un lien.

Le 22 avril 2026, CISA a inscrit la CVE-2025-66376 à son catalogue Known Exploited Vulnerabilities (KEV), confirmant officiellement l'exploitation in-the-wild et imposant aux agences fédérales américaines un délai de remédiation au 13 mai 2026 dans le cadre de la directive BOD 22-01. Cette inscription accompagnait celle de la CVE-2025-48700, traitée en cluster comme un même ensemble d'attaque.

Les scans réalisés par Censys et Shodan début avril 2026 dénombrent plus de 10 000 serveurs Zimbra exposés sur Internet exécutant encore une version vulnérable. La répartition géographique montre une concentration en Europe (notamment France, Italie, Allemagne), Amérique du Nord et Asie du Sud-Est, secteurs où Zimbra reste une alternative populaire à Microsoft 365 ou Google Workspace pour des raisons de souveraineté ou de coût.

Selon BleepingComputer et SecurityWeek, l'exploitation s'est étendue au-delà du seul groupe UAC-0233 depuis l'inscription au KEV. Plusieurs équipes de threat intelligence rapportent l'utilisation de la même chaîne par des acteurs cybercriminels orientés vol de données et sextorsion, exploitant la simplicité du vecteur (un email suffit) pour cibler des entreprises de taille moyenne à des fins d'extorsion.

Impact et exposition

L'exposition est massive et concentrée sur des secteurs sensibles : administration publique, éducation supérieure, santé, défense. Le risque dépasse la simple lecture des emails — un attaquant peut détourner le compte Zimbra de la victime pour exfiltrer historiques, contacts, calendriers et fichiers partagés via Briefcase, et utiliser la session pour propager le payload à d'autres utilisateurs de la même organisation.

Les conditions d'exploitation sont triviales : le seul prérequis est que la victime ouvre l'email piégé dans la webmail Zimbra. Aucun clic supplémentaire, aucune pièce jointe à exécuter, aucune authentification additionnelle. La vulnérabilité contourne les contrôles habituels (gateways anti-spam, sandbox de pièces jointes) car le payload est purement HTML/CSS et ne déclenche pas les heuristiques de signature.

L'exploitation in-the-wild est confirmée et documentée par CERT-UA, CISA et plusieurs éditeurs (BleepingComputer, SC Media, Sentinel One). UAC-0233 est l'acteur de référence pour les campagnes ciblées, mais les opérateurs cybercriminels ont rejoint l'exploitation depuis avril 2026, élargissant le spectre des victimes potentielles.

La surface d'attaque inclut tout serveur Zimbra accessible en lecture par email externe, c'est-à-dire l'immense majorité des déploiements opérationnels. Les configurations les plus exposées sont celles qui n'ont pas activé Zimbra DMARC strict ni de filtrage HTML avancé en amont — ce qui correspond aux configurations par défaut.

Recommandations immédiates

• Mettre à jour Zimbra Collaboration vers les versions suivantes : 8.8.15 Patch 47 ou supérieur, 9.0.0 Patch 45 ou supérieur, 10.0.13 ou supérieur, 10.1.5 ou supérieur. Advisory : Zimbra Security Advisory ZBUG-2025-66376.
• Appliquer également le patch CVE-2025-48700 (vulnérabilité chaînée dans le module calendrier).
• Mitigation temporaire si patch impossible : désactiver le rendu HTML enrichi dans la webmail (zmprov mcf zimbraMailHtmlSafelist), ou imposer le mode plain text en sortie de gateway.
• Auditer les logs Zimbra mailbox.log pour détecter des patterns d'accès anormaux (téléchargement massif de messages, export de contacts, sessions multiples).
• Examiner les règles de transfert configurées par les utilisateurs : un compte compromis peut avoir installé une règle silencieuse de copie vers un attaquant.
• Forcer la rotation des mots de passe et des codes MFA backup pour tous les comptes ayant pu être exposés à un email avant le patch.
• Indicateurs de compromission : connexions sortantes vers domaines courts en .top, .xyz, .icu observées par CERT-UA, ainsi que des subdomains éphémères Cloudflare Workers.