サイバー攻撃者がICS経由でZimbraのゼロデイ脆弱性を悪用

出典: nialowwa / Shutterstock

リビア海軍の儀典局を装った正体不明の脅威アクターが、今年初めに悪意のあるカレンダー（ICS）ファイルを使い、当時ゼロデイであったZimbraのコラボレーションスイートの脆弱性を悪用してブラジル軍を標的にしました。

この手法は、Zimbraのようなオープンソースのコラボレーションツールを、サーバー侵害やフィッシング誘導といった一般的な手法ではなく、メール添付ファイルを通じて直接悪用するという、非常に珍しいケースである点が注目されています。これはStrikeReady Labsの研究者によるものです。

この手法により、攻撃者は従来の防御を回避し、保存型クロスサイトスクリプティング（XSS）を通じてデータを窃取できるようになりました。これにより、一見重要度が低い脆弱性でも、実際のスパイ活動キャンペーンにおいてリモートコード実行（RCE）に匹敵する脅威となり得ることが浮き彫りになりました。

「XSSはしばしばRCEと比べて『軽微な』脆弱性と見なされがちです」と研究者らは指摘します。しかし、ブラジル軍を標的とした今回の攻撃や、Proofpoint、ESET、StrikeReady自身が過去に記録した事例などから、「XSSも目的達成において同様に効果的」であることが示されています。

XSS脆弱性を利用したサイバースパイ活動

StrikeReadyは、10KBを超えるJavaScriptを含むICSファイルを監視していた際にこのキャンペーンを発見しました。これは非常に珍しいため、発見が容易でした。悪意のあるICSファイルは、リビア海軍儀典局からのメールを装って添付されていました。ファイルには、CVE-2025-27915という、Zimbra Classic Webクライアントの複数バージョンに存在するXSS脆弱性を悪用するための悪意あるJavaScriptが含まれていました。

StrikeReadyの分析によると、この悪意のあるファイルは情報窃取型であり、ユーザー認証情報、メール、連絡先、共有フォルダなど幅広い機密情報を外部に送信する機能を備えていました。窃取されたデータは攻撃者が管理するサーバーに送信されました。攻撃者は、コード実行まで60秒の遅延を設けたり、再実行を3日に1回に制限するなど、複数の難読化手法を用いて検知を困難にしていました。また、Zimbra内のユーザーインターフェース要素を隠すことで、侵害の視覚的な兆候も減らしていました。さらに、悪意のあるICSファイルはユーザーの操作を監視し、ユーザーが非アクティブになると迅速にデータを外部送信しログアウトさせ、再ログイン時に新たな認証情報を取得できるようにしていました。

この脆弱性は、カレンダーファイル内のHTMLコンテキストのサニタイズが不十分であったことに起因しています。米国国立標準技術研究所（NIST）の脆弱性説明によると、「ユーザーが悪意のあるICSエントリを含むメールメッセージを閲覧すると、<details>タグ内のontoggleイベントを介して埋め込まれたJavaScriptが実行されます。これにより、攻撃者は被害者のセッション内で任意のJavaScriptを実行でき、メールフィルタを設定してメッセージを攻撃者の管理するアドレスに転送するなどの不正な操作が可能になります。」

Zimbraは、攻撃者がゼロデイとしてこの脆弱性を悪用した後の6月に、修正を含むソフトウェアのアップデート版（ZCS 10.1.9）をリリースしました。「この修正は入力サニタイズを強化し、セキュリティを向上させます。すべてのお客様は直ちにこの最新パッチバージョンへのアップグレードを強く推奨します」とZimbraは当時発表しています。

多機能型マルウェアペイロード

ペイロード自体はいくつかの機能に分かれており、それぞれ異なる目的を持っています。最初の機能は認証情報の窃取とユーザー活動の監視に特化しており、入力されたデータを即座に外部送信します。2つ目の機能はメールの窃取を目的としており、フォルダ内検索やZimbraのSOAP APIを利用したメッセージ内容の取得、4時間ごとに攻撃者の管理するサーバーへのデータ送信が可能です。

3つ目の機能では、攻撃者がZimbra内のメールフィルタルールを操作できるようになっています。この機能により、すべての受信・送信メッセージを外部のProton Mailに転送することが可能です。4つ目の機能は、特に機密性の高い認証データを標的としています。StrikeReadyによれば、このスクリプトは信頼済みデバイスの詳細やアプリ固有パスワードなど、攻撃者が多要素認証（MFA）を回避し、アクセス範囲を拡大するのに役立つ機密データを窃取することができました。

「ZimbraやRoundcubeなどのオープンソースコラボレーションツールを、直接メール経由で悪用する事例は稀です」とStrikeReadyは述べています。「広範なキャンペーンでサーバーが侵害されることや、攻撃者がこれらのツールを誘導手段として利用することはよくありますが、メール添付ファイルで実際に脆弱性を悪用するのは注目すべき手口です。」

同社によれば、こうしたコラボレーションツールのゼロデイを発見できる攻撃者はごく一部に限られています。中でも最も活発なのは、ロシア関連とされるグループで、UNC1151として追跡されています、とStrikeReadyは述べています。