CISA ostrzega: aktywnie wykorzystywana luka LFI w Zimbra Collaboration (CVE-2025-68645)

Wprowadzenie do problemu / definicja luki

Zimbra Collaboration Suite (ZCS) to popularna platforma pocztowo-kolaboracyjna wdrażana w środowiskach on-prem i hybrydowych. Gdy podatność dotyczy webmaila, ryzyko rośnie wykładniczo: interfejs jest zwykle wystawiony do Internetu, a atakujący mogą automatyzować skanowanie i selekcję celów.

W styczniu 2026 r. organizacje zostały ostrzeżone o aktywnym wykorzystywaniu luki CVE-2025-68645. To Local File Inclusion (LFI) w Webmail Classic UI Zimbry, która – w sprzyjających warunkach – pozwala zdalnie i bez uwierzytelnienia wymuszać dołączanie plików z katalogu WebRoot do odpowiedzi aplikacji.

W skrócie

• CVE: CVE-2025-68645
• Typ: Local File Inclusion (LFI)
• Komponent: Zimbra Collaboration (ZCS) 10.0 / 10.1, Webmail Classic UI, endpoint /h/rest
• Przyczyna: nieprawidłowa obsługa parametrów żądania w RestFilter servlet
• Wykorzystanie w praktyce: obserwowane kampanie „intelligence-driven”, a wolumen prób rośnie
• Wersje z poprawką: Zimbra wskazuje naprawę w 10.1.13 oraz 10.0.18
• Kontekst KEV: CISA dodała tę lukę do katalogu KEV, a media podają termin działań dla agencji federalnych USA do 12 lutego 2026

Kontekst / historia / powiązania

SecurityWeek opisuje, iż po dodaniu CVE-2025-68645 do KEV CISA (bez ujawniania szczegółów ataków), dodatkowe światło rzuciły obserwacje z ekosystemu CrowdSec: nadużycia mają być selektywne, ukierunkowane i „wywiadowo” dobierające cele, a zainteresowanie luką rośnie.

To ważne, bo Zimbra ma długą historię incydentów i podatności wykorzystywanych „na masę” po upublicznieniu PoC. W tym przypadku obraz jest inny: najpierw precyzyjne kampanie, potem coraz więcej prób (co zwykle bywa wstępem do szerszego „sprayowania” Internetu).

Analiza techniczna / szczegóły luki

Według opisu w NVD, podatność polega na tym, iż RestFilter servlet niewłaściwie obsługuje parametry dostarczone przez użytkownika. Atakujący może wysłać spreparowane żądanie na /h/rest, wpływając na wewnętrzny mechanizm dispatchingu i doprowadzając do włączenia (include) dowolnych plików z WebRoot do odpowiedzi.

Kluczowe konsekwencje techniczne LFI w webmailu:

• umożliwia ujawnianie zasobów aplikacji (pliki statyczne, szablony, fragmenty konfiguracji zależnie od układu WebRoot),
• bywa używana jako etap rozpoznania (odczyt plików, identyfikacja wersji, ścieżek, komponentów),
• może wspierać łańcuch ataku (np. dobór kolejnej podatności lub payloadu), choćby jeżeli sama w sobie nie jest RCE.

Zimbra wskazuje, iż problem został „zaadresowany” jako unauthenticated LFI w RestFilter i poprawiony w gałęziach wydań 10.1.13 oraz 10.0.18.

Praktyczne konsekwencje / ryzyko

Dla zespołów SOC/IR i właścicieli usług pocztowych liczą się trzy scenariusze ryzyka:

1. Eksfiltracja danych pośrednich
   Nawet jeżeli ogranicza się do WebRoot, atakujący może pozyskać elementy przydatne do dalszej kompromitacji (mapowanie aplikacji, zasobów, wersji, niestandardowych wdrożeń).
2. Przygotowanie kolejnego etapu ataku
   Ukierunkowane kampanie często zaczynają się od błędu, który „tylko” zwiększa widoczność systemu. CrowdSec sugeruje, iż wybór celów nie jest losowy, co pasuje do działań nastawionych na wartość informacji.
3. Ryzyko operacyjne: poczta jako „high value asset”
   Poczta to dostęp do komunikacji, resetów haseł, przepływu dokumentów i danych wrażliwych. Dlatego choćby podatności bez natychmiastowego RCE traktuje się jako krytyczne w praktyce, zwłaszcza gdy dotykają komponentów wystawionych na Internet.

Rekomendacje operacyjne / co zrobić teraz

1) Patch natychmiast (priorytet P0)
Zaplanuj aktualizację do wydań zawierających poprawkę: ZCS 10.1.13 lub 10.0.18 (zależnie od Twojej linii produktowej).

2) Ogranicz ekspozycję webmaila, jeżeli to możliwe

• Jeśli masz możliwość: ogranicz dostęp do Classic UI (np. wyłącznie przez VPN / reverse proxy z MFA).
• Rozważ politykę „deny by default” dla nietypowych ścieżek i parametrów na WAF (szczególnie wokół /h/rest).

3) Monitoring i detekcja (szybkie wygrane dla SOC)
Bez wchodzenia w IoC specyficzne dla kampanii (brak publicznych detali od CISA):

• ustaw alerty na nietypowe żądania do /h/rest (skoki wolumenu, anomalie geolokalizacji, nietypowe parametry),
• koreluj z błędami aplikacji (nagłe wzrosty 4xx/5xx),
• przejrzyj logi reverse proxy/WAF pod kątem prób odczytu zasobów „poza typowym ruchem webmaila”.

4) Przygotuj plan IR dla systemów pocztowych
Jeżeli Zimbra jest krytyczna biznesowo: przygotuj playbook (izolacja hosta, rotacja sekretów/kluczy, przegląd kont uprzywilejowanych, weryfikacja reguł przekierowań poczty).

5) Traktuj sprawę jako „exploited in the wild”
Dodanie do KEV jest w praktyce sygnałem, iż łatka nie jest „na później”. Media raportują termin działań dla agencji federalnych USA do 12 lutego 2026, co dobrze oddaje oczekiwany poziom pilności również poza administracją.

Różnice / porównania z innymi przypadkami

Warto odróżnić CVE-2025-68645 od wcześniejszych problemów wokół /h/rest:

• Zimbra notowała już przypadek LFI w /h/rest, ale wymagający ważnego tokenu auth (czyli „authorized attacker”) – to inna klasa ryzyka, bo wymaga wcześniejszego dostępu.
• CVE-2025-68645 jest opisane jako unauthenticated i dlatego znacznie bardziej niebezpieczne operacyjnie: zwiększa prawdopodobieństwo szerokiej ekspozycji i automatycznych kampanii.

Podsumowanie / najważniejsze wnioski

• CVE-2025-68645 to unauthenticated LFI w Zimbra ZCS 10.0/10.1, związane z obsługą parametrów w RestFilter i endpointem /h/rest.
• Wykorzystanie jest obserwowane w środowiskach rzeczywistych, a dane telemetryczne sugerują wzrost aktywności i selektywny dobór celów.
• Zimbra wskazuje, iż poprawka jest dostępna w 10.1.13 i 10.0.18 — patch powinien być traktowany jako pilny.
• Dla obrony liczą się: szybka aktualizacja, ograniczenie ekspozycji Classic UI oraz monitoring żądań do /h/rest.

Źródła / bibliografia

1. SecurityWeek – informacja o ostrzeżeniu i aktywnym wykorzystaniu CVE-2025-68645 (SecurityWeek)
2. NVD – opis techniczny CVE-2025-68645 (NVD)
3. Zimbra Wiki – Zimbra Security Advisories (wskazanie wersji z poprawką) (wiki.zimbra.com)
4. CrowdSec CTI – obserwacje dot. selektywnego wykorzystania i wzrostu prób (app.crowdsec.net)
5. The Hacker News – kontekst KEV i termin 12 lutego 2026 dla FCEB (The Hacker News)