Source: https://thehackernews.com/2025/10/zimbra-zero-day-exploited-to-target.html
🛡 概要
今年初め、Zimbra Collaborationのパッチが適用される前に発見されたゼロデイ脆弱性が、ブラジル軍を狙ったサイバー攻撃に利用されました。この脆弱性はCVE-2025-27915(CVSSスコア: 5.4)として追跡されており、ICSカレンダーファイル内のHTMLコンテンツの不適切なサニタイズに起因するストア型クロスサイトスクリプティング(XSS)脆弱性です。攻撃者はこの脆弱性を利用して、ユーザーのセッション内で任意のJavaScriptコードを実行し、電子メールフィルタを不正に設定するなどの行動を取ることが可能です。
🔍 技術詳細
具体的には、攻撃者が悪意のあるICSエントリを含むメールメッセージを送信し、ユーザーがそれを表示すると、タグ内のontoggleイベントを介して埋め込まれたJavaScriptが実行されます。この脆弱性を利用することで、攻撃者は被害者のアカウントで不正な行動を行うことができます。Zimbraは2025年1月27日にバージョン9.0.0 Patch 44、10.0.13、10.1.5の一部としてこの脆弱性を修正しましたが、実際の攻撃に利用されたことについては言及されていません。しかし、StrikeReady Labsによると、攻撃者はリビア海軍のプロトコルオフィスを偽装し、悪意のあるICSファイルを使用してブラジル軍を標的にしました。ICSファイルには、認証情報や電子メール、連絡先、共有フォルダを外部サーバーに転送するためのJavaScriptコードが含まれていました。
⚠ 影響
この脆弱性の影響は甚大で、攻撃者は被害者のアカウントに対して不正な操作を実行できるため、情報漏洩や不正アクセスのリスクが高まります。特に、攻撃者は特定のフォルダ内のメールを検索し、悪意のあるZimbraメールフィルタルールを追加して、メッセージを攻撃者が制御するアドレスに転送することが可能です。このような攻撃手法は、APT28などのロシアの脅威アクターによっても利用されており、他のハッキンググループも同様の手法を用いて認証情報の窃取を行っています。ブラジル軍に対する攻撃が実際に行われたことから、この脆弱性の悪用は現実の脅威であることが示されています。
🛠 対策
Zimbraはこの脆弱性を修正したパッチをリリースしていますが、ユーザーは常に最新のバージョンを使用することが重要です。また、メールのリンクや添付ファイルを慎重に扱い、不審なメールは開かないようにすることが推奨されます。さらに、組織内でのセキュリティ教育を強化し、従業員がサイバー攻撃の手口を理解し、適切に対応できるようにすることも重要です。定期的なセキュリティ監査や脆弱性スキャンを実施し、潜在的なリスクを早期に発見することが、今後の攻撃から身を守るための鍵となります。
