CISA avertizează cu privire la exploatarea unor vulnerabilități în Zimbra și SharePoint; Zero-Day Cisco utilizat în atacuri Ransomware

Agenția pentru Securitate Cibernetică și a Infrastructurii din SUA (CISA) a îndemnat agențiile guvernamentale să aplice patch-uri pentru două vulnerabilități de securitate care afectează Synacor Zimbra Collaboration Suite (ZCS) și Microsoft Office SharePoint, afirmând că acestea au fost exploatate activ în condiții reale.

Vulnerabilitățile în cauză sunt următoarele:

• CVE-2025-66376 (scor CVSS: 7.2) – O vulnerabilitate de tip stored cross-site scripting în interfața clasică (Classic UI) a ZCS, unde atacatorii ar putea abuza de directivele @import din Cascading Style Sheets (CSS) într-un mesaj e-mail HTML. (Remediată în versiunile 10.0.18 și 10.1.13 în noiembrie 2025).
• CVE-2026-20963 (scor CVSS: 8.8) – O vulnerabilitate de deserializare a datelor nedemne de încredere în Microsoft Office SharePoint, care permite unui atacator neautorizat să execute cod prin rețea. (Remediată în ianuarie 2026).

În prezent, nu există rapoarte publice care să facă referire la exploatarea vulnerabilităților menționate anterior, la cine le-ar putea exploata sau la amploarea acestor eforturi. Având în vedere exploatarea activă, agențiilor din cadrul Filialei Executive Civile Federale (FCEB) li se recomandă să aplice patch-uri pentru CVE-2025-66376 până la 1 aprilie 2026 și pentru CVE-2026-20963 până la 23 martie 2026.

Dezvăluirea vine în contextul în care Amazon a scos la iveală faptul că actori de amenințări asociați cu ransomware-ul Interlock au exploatat o vulnerabilitate de securitate de severitate maximă care afectează software-ul de management al firewall-urilor Cisco (CVE-2026-20131, scor CVSS: 10.0) începând cu 26 ianuarie 2026, cu mai bine de o lună înainte ca aceasta să fie divulgată public.

„Interlock a vizat istoric sectoare specifice în care perturbarea operațională creează presiune maximă pentru plată”, a declarat Amazon. Aceste sectoare includ educația, ingineria, arhitectura, construcțiile, producția, industria, asistența medicală și entitățile guvernamentale.

Atacul evidențiază încă o dată un tipar persistent al actorilor de amenințări care vizează dispozitivele de rețea periferice (edge network devices) de la diferiți furnizori, inclusiv Cisco, Fortinet, Ivanti și alții, pentru a obține acces inițial în rețelele țintă. Faptul că CVE-2026-20131 a fost utilizată ca zero-day arată că atacatorii investesc timp și resurse pentru a găsi vulnerabilități anterior necunoscute care le-ar putea acorda acces cu privilegii ridicate.

Sursă: https://thehackernews.com/2026/03/cisa-warns-of-zimbra-sharepoint-flaw.html