オンラインで公開されている10,000以上のZimbra Collaboration Suite (ZCS)インスタンスが、クロスサイトスクリプティング(XSS)セキュリティ欠陥を悪用した継続的な攻撃に対して脆弱であると、非営利セキュリティ機関Shadowserverが報告しています。
Zimbraは世界中の数億人が使用する人気のあるメール・協業ソフトウェアスイートで、数百の政府機関と数千の企業を含みます。
この脆弱性(CVE-2025-48700として追跡)はZCS 8.8.15、9.0、10.0、10.1に影響を及ぼし、未認証の攻撃者がユーザーのセッション内で任意のJavaScriptを実行した後、機密情報にアクセスすることを許可する可能性があります。
Synacorは2025年6月にこの欠陥に対処するためのセキュリティパッチをリリースし、CVE-2025-48700の悪用はユーザーの操作を必要とせず、ユーザーがZimbra Classic UIで悪意のあるメールメッセージを閲覧するときにトリガーできることを警告しました。
月曜日、CISAはCVE-2025-48700が野生で悪用されていることを指摘し、アクティブな悪用の証拠に基づいてそれを追加しました。既知の悪用脆弱性(KEV)カタログに。
米国サイバーセキュリティ庁はまた、連邦文民行政府(FCEB)機関に対し、4月23日までに3日以内にZimbraサーバーを保護するよう命じました。
金曜日、インターネットセキュリティ監視機関Shadowserverは、警告を発し、10,500以上のZimbraサーバーがオンラインで公開されたままパッチが適用されていないことを報告しました。ほとんどがアジア(3,794)とヨーロッパ(3,793)に位置しています。
CISAはCVE-2025-48700攻撃に関する詳細を共有していませんが、別のXSS脆弱性(CVE-2025-66376として追跡され、パッチ適用済み11月上旬)は、国家支援のAPT28(別名Fancy Bear、Strontium)軍事ハッカーがウクライナ政府機関を標的とするフィッシング攻撃で悪用し、1月から開始されました。
このフィッシングキャンペーン(Seqrite Labsのセキュリティ研究者によってOperation GhostMailと名付けられた)はウクライナ水文水資源局(インフラストラクチャ省傘下の重要インフラストラクチャ機関で、航海、海洋、および水路測量サポートを提供)も標的にし、受信者が脆弱なZimbra webmailセッションで悪意のあるメールを開くと、難読化されたJavaScriptペイロードを配信しました。
「フィッシングメールには悪意のある添付ファイル、疑わしいリンク、マクロがありません。攻撃チェーン全体は単一のメールのHTMLボディ内に存在し、悪意のある添付ファイルはありません」とSeqrite Labsはその時述べました。
Zimbraの欠陥は攻撃で頻繁に悪用されており、近年、数千の脆弱なメールサーバーを侵害するために使用されています。
例えば、ロシアのWinter Vivernサイバースパイは別の反射型XSS悪用を使用してZimbra webmailポータルを侵害し、2023年2月にNATO連携組織および個人(軍事要員、政府関係者、外交官を含む)によって送受信されたメールを盗みました。
より最近では、2024年10月、米国と英国のサイバー機関は、ロシアの外国情報局(SVR)に関連するAPT29(別名Cozy Bear、Midnight Blizzard)ハッカーが脆弱なZimbraサーバーを標的にしていることを警告しました。「大規模に」、以前から悪用されていたメールアカウント認証情報を盗むためにセキュリティ問題を悪用していました。
Mythosが発見したもののうち99%はまだパッチが適用されていません。
AIは4つのゼロデイを1つの悪用にチェーンしました。これにより、レンダラーとOSサンドボックスの両方をバイパスしました。新しい悪用の波が来ています。
自律検証サミット(5月12日および14日)では、自律的でコンテキストに富んだ検証がどのように悪用可能なものを見つけ、コントロールの保持を証明し、修復ループを閉じるかを確認してください。
