サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Zimbra Collaboration Suite(ZCS)に影響を与える重大な脆弱性を、既知の悪用されている脆弱性(KEV)カタログに正式に追加しました。
このプラットフォームを使用する連邦機関および組織は、アクティブな悪用リスクを軽減するため、2026年4月1日までに必要な更新プログラムを適用する必要があります。
悪用されるZimbra Collaboration Suiteの欠陥
CVE-2025-66376として追跡されている、この高度な重大度の欠陥は、Zimbra Classic UI内の保存型クロスサイトスクリプティング(XSS)脆弱性を含みます。
この問題は、ソフトウェアが悪意のあるメール内容をどのように処理するかに根ざしています。攻撃者は、HTMLメールに埋め込まれたカスケーディングスタイルシート(CSS) @import ディレクティブを積極的に悪用して、標準的な入力フィルターをバイパスすることができます。
ターゲットが特別に細工されたメッセージを開くと、悪意のあるスクリプトが実行され、現在のセッションのコンテキスト内で動作します。
これにより、脅威アクターが機密メールにアクセスし、ユーザーセッションをハイジャックし、より広い協力環境を危険にさらす可能性があります。
アクティブなランサムウェアキャンペーンにおけるこの脆弱性の正確な展開は不明ですが、CISA KEVリストへの含まれることは、野生での確認された、アクティブな悪用を示しています。
Zimbra背後のベンダーであるSynacorは、最新のパッチリリースでこの脆弱性に対処しました。
セキュリティ更新は、AntiSamy HTMLフィルター処理コンポーネントをバージョン1.7.8にアップグレードし、脆弱なレガシーコードを削除することで、XSSの欠陥を解決します。
管理者は、システムを保護するため、パッチ済みバージョンのいずれかに更新する必要があります。
- Zimbra Collaboration Suiteバージョン10.1.13は、現在のブランチユーザーにとって直ちのインストールが必要です。
- Zimbra Collaboration Suiteバージョン10.0.18は、レガシー展開の重大なセキュリティ更新として機能します。
CISAは組織に強く助言しています。これらのベンダー軽減措置を直ちに適用するか、更新プログラムを展開できない場合は製品の使用を完全に中止してください。
Synacorはこのパッチの展開リスクを中程度と評価しており、管理者は本番サーバーに更新プログラムをプッシュする前に、標準的なステージングとテスト手順に従う必要があることを意味しています。
追加のセキュリティとシステム更新
CVE-2025-66376のパッチ適用を超えて、最新のZimbra更新は、いくつかの基礎的なセキュリティと使いやすさの向上をもたらします。
これらの追加は、全体的なシステム安定性を向上させ、現代的な管理ニーズに沿わせることを目的としています。
- 更新は、最新のRFCガイドラインに従って、トランスポート層セキュリティ(TLS)処理を強化します。
- 管理者は、メールボックスの移行のための強化されたAmazon S3データ管理とクリーンアップ処理を取得します。
- 新しいIgniteスマートメール検索は、LDAPサポートの外部メール警告とともに、即座の提案を提供します。
- ユーザーは、強化されたリカバリーオプションを使用して、ゴミ箱フォルダから直接削除されたメール、連絡先、ファイルを復元できるようになりました。
- 更新されたZimbra Connector for Outlook(ZCO)は、Outlook 2024との完全な互換性を備えています。
- Synacorは、2026年10月までレガシーOutlookクライアントのExchange Web Services(EWS)互換性を維持します。
管理者は、Zimbra バージョン10.0が2025年12月31日に正式にサポート終了(EOL)に達したことに注意する必要があります。
バージョン10.0.18はこの特定のCVEの重大なセキュリティ修正を提供していますが、10.0ブランチを実行し続けている組織は、完全にサポートされている10.1シリーズへの移行を緊急に計画する必要があります。
バージョン10.1への移行は、将来のセキュリティパッチと脅威軽減へのアクセスを中断なく確保します。
翻訳元: https://gbhackers.com/cisa-adds-exploited-zimbra-collaboration-suite-flaw/
