La CISA ha inserito nel catalogo delle vulnerabilità note sfruttate due falle di sicurezza che riguardano Zimbra Collaboration Suite e Microsoft Office SharePoint, segnalando exploit attivi in rete e chiedendo alle organizzazioni di applicare rapidamente le patch. Il tema è particolarmente rilevante per chi gestisce posta elettronica e collaborazione, perché gli attacchi moderni puntano spesso ai sistemi più esposti e usati ogni giorno.

Zimbra Collaboration Suite: CVE-2025-66376

Per Zimbra, la vulnerabilità CVE-2025-66376 è una stored cross-site scripting nella Classic UI. In pratica un aggressore può inserire codice malevolo dentro un messaggio email HTML e farlo eseguire nel browser della vittima quando questa apre la webmail.

La tecnica descritta sfrutta direttive CSS @import all’interno del contenuto HTML, evitando allegati e link sospetti. Questo rende più difficile l’individuazione tramite controlli tradizionali, perché l’intera catena di attacco vive nel corpo della mail.

In uno scenario reale, l’email viene costruita con JavaScript offuscato per rubare credenziali, token di sessione, codici di recupero 2FA, password salvate nel browser e contenuti della casella di posta fino a 90 giorni. I dati sottratti possono essere esfiltrati sia via DNS sia via HTTPS, aumentando la resilienza dell’attacco.

Microsoft Office SharePoint: CVE-2026-20963

Per SharePoint, la CVE-2026-20963 è legata alla deserializzazione di dati non fidati e può consentire esecuzione di codice da remoto via rete a un attaccante non autenticato. Anche senza dettagli pubblici estesi sugli sfruttamenti, la combinazione di impatto elevato e contesto enterprise rende prioritario l’aggiornamento, soprattutto in ambienti dove SharePoint è integrato con identità, documenti e workflow critici.

Contesto: Cisco FMC e pattern ransomware

In parallelo, è stato evidenziato anche un caso di zero-day su Cisco FMC, CVE-2026-20131, sfruttato da operatori ransomware per ottenere accesso root. Il pattern è chiaro: i gruppi criminali cercano accesso iniziale tramite dispositivi edge e piattaforme di gestione, poi scalano privilegi e distribuiscono ransomware.

Misure consigliate

• Patch tempestive per Zimbra, SharePoint e componenti esposti.
• Hardening degli accessi amministrativi (riduzione superficie d’attacco e controllo degli account privilegiati).
• Segmentazione per limitare movimenti laterali in caso di compromissione.
• Monitoraggio dei log, con particolare attenzione a webmail, SharePoint e sistemi di gestione firewall.