米国のサイバーセキュリティ機関CISAは木曜日、連邦機関に対し、実環境で積極的に悪用されているセキュリティ欠陥に備えて、Zimbra Collaboration Suiteのインスタンスにパッチを適用するよう促した。
CVE-2025-68645として追跡されているこの悪用されているZimbraの脆弱性は、アプライアンスのWebメールUIに影響するローカルファイルインクルージョン(LFI)の問題として説明されている。
このバグは、RestFilterサーブレットがユーザー提供のリクエストパラメータを適切に処理できないために存在し、攻撃者が細工したリクエストを送信できるようになる。
内部のリクエストルーティングに影響を与えることで、攻撃者は認証なしにWebRootディレクトリから任意のファイルを取り込むことができる。
この欠陥の悪用に成功すると、機密情報や内部パスの漏えい、偵察、さらに他のセキュリティ上の弱点と組み合わせられた場合には追加の侵害につながる可能性がある。
この欠陥に対するパッチは、2025年11月6日にZimbra Collaboration Suiteのバージョン10.1.13および10.0.18でリリースされた。
木曜日、CISAはCVE-2025-68645を既知の悪用されている脆弱性(KEV)カタログに追加したが、観測された攻撃に関する詳細は提供しなかった。
しかしCrowdSecによれば、脅威アクターは高度に標的を絞った攻撃でこの脆弱性を悪用しており、洗練されたインテリジェンス主導のキャンペーンの一環だという。
CrowdSecは、このセキュリティ欠陥の悪用が急増しており、脅威アクターの間で広範な関心が示されていることを示唆していると指摘している。
Zimbraの弱点に加え、CISAはKEVリストを他の3件のバグで拡充し、拘束力のある運用指令(BOD)22-01が義務付けるとおり、連邦機関に対して3週間以内に対処するよう促した。
新たに悪用されているとして警告された問題には、2025年7月にサプライチェーン攻撃の一環としてeslint-config-prettierパッケージに混入した悪意あるコードを指すCVE-2025-54313、Viteフロントエンド開発フレームワークにおける不適切なアクセス制御の脆弱性であるCVE-2025-31125、そしてVersa Concerto SD-WANオーケストレーションプラットフォームにおける認証バイパスであるCVE-2025-34026が含まれる。
BOD 22-01は連邦機関のみに適用されるが、すべての組織に対し、CISAのKEVカタログを確認し、そこで特定されたセキュリティ欠陥に対処することが推奨される。
翻訳元: https://www.securityweek.com/organizations-warned-of-exploited-zimbra-collaboration-vulnerability/
