Zimbra、Webクライアントの重大なXSS脆弱性に対しパッチ適用を顧客に呼びかけ

Zimbraセキュリティチームは、Zimbra Collaborationスイートへのアクセスに使用されるClassic Web Clientに影響する重大な脆弱性について、顧客に対しパッチ適用を強く呼びかけました。

Zimbraは、世界中の数千の企業や数百の政府機関を含む数億人が利用する、非常に人気の高いメールおよびコラボレーションソフトウェアスイートです。Classic UIとしても知られるこのAjaxベースのWebメールインターフェースは、大量のメールフォルダを読み込む際により多くのリソースを必要とするZimbraの最新Webクライアントよりも高速に動作します。

同社は今週火曜日、このスタードクロスサイトスクリプティング(XSS)のセキュリティ脆弱性を修正するZimbra 10.1.19をリリースしました。この脆弱性には、追跡を容易にするCVE IDがまだ付与されていません。攻撃者は、特別に細工されたメールを通じてこのClassic Web Clientのセキュリティ問題を悪用でき、メールを開いた際に悪意のあるコードが実行される仕組みです。

悪用に成功すると、脅威アクターはセッションデータ、アカウント設定、メールボックス情報を窃取できる可能性があります。

Zimbraは「Classic Web Clientを使用しているすべての顧客は、できるだけ早くZCS v10.1.19にアップグレードすべきです。この問題はClassic Web Clientのユーザーのみに影響します」と警告し、「環境の安全性を保つため、このバージョンへのアップグレードを強く推奨します」と述べています。

Zimbraはこの脆弱性を実際の攻撃で悪用されたものとしてはまだ位置付けていませんが、この脆弱性はGoogleのThreat Analysis Groupによって報告されました。同グループは、野党政治家、反体制派、ジャーナリストなど、高リスクな個人を標的としたサイバー攻撃において、国家の支援を受けたハッキンググループが展開するゼロデイエクスプロイトを頻繁に指摘していることで知られています。

ロシア国家系ハッカーによる標的化

Zimbraのセキュリティ問題は近年、ロシア国家支援のハッカーによる攻撃で頻繁に悪用され、数千台の脆弱なサーバーが侵害されてきました。

例えば、ロシア支援のWinter Vivernハッキンググループは、2023年2月に反射型XSSエクスプロイトを使用してZimbraのWebメールポータルに侵入し、政府関係者、軍関係者、外交官を含むNATO関連組織や個人からメールを窃取しました。

2024年10月には、米国と英国のサイバー機関も、ロシア対外情報庁(SVR)のために活動するAPT29(Midnight BlizzardやCozy Bearとしても知られる)のハッカーが、以前メールアカウントの認証情報を窃取するために悪用されていた脆弱性を狙ったエクスプロイトを使用し、「大規模に」脆弱なZimbraサーバーを標的にしていると警告しました。

さらに最近では、3月にサイバーセキュリティ・インフラセキュリティ庁(CISA)が、ロシア軍参謀本部情報総局に関連するとされるAPT28グループに関連したハッカーがウクライナ政府機関を標的とした攻撃で悪用していた、別のZimbra XSS脆弱性(CVE-2025-66376)にパッチを適用するよう連邦政府機関に命じました

4月には、非営利のセキュリティ組織Shadowserverが、オンライン上に公開されている1万500台以上のZimbra Collaboration Suite(ZCS)インスタンスが、別のクロスサイトスクリプティング(XSS)のセキュリティ脆弱性(CVE-2025-48700として追跡)を悪用する進行中の攻撃に対し、依然として脆弱な状態にあると警告しました。

攻撃者に先んじて、あらゆる層をテストする

セキュリティチームが記録できている攻撃成功事例は54%にとどまり、アラートが発報されるのはわずか14%です。残りは検知されないまま環境内を移動しています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションによってSIEMおよびEDRのルールをテストし、脅威が検知をすり抜けるのを防ぐ方法を紹介しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/zimbra-urges-customers-to-patch-critical-web-client-xss-flaw/

ソース: bleepingcomputer.com