Zimbra ゼロデイ脆弱性:未知の脅威アクターが電子メールを盗み出している

Zimbra zero-day vulnerability actively exploited to steal emails

2022/02/03 BleepingComputer — Zimbra におけるクロス・サイト・スクリプティング (XSS) の脆弱性が、ヨーロッパのメディアや政府機関を標的とした攻撃で積極的に悪用されている。Zimbra は、Eメール/コラボレーション・プラットフォームであり、インスタント・メッセージング/コンタクト・リスト/ビデオ会議/ファイル共有/クラウド・ストレージなどの機能も備えている。Zimbra によると、1,000以上の政府機関や金融機関を含め、140カ国以上の20万以上の企業が、同社のソフトウェアを使用しているとのことだ。

中国の脅威アクターに関連する攻撃

研究者たちは、「この記事を書いている時点で、エクスプロイトに対応できるパッチは存在せず、CVE も割り当てられていない。つまり、ゼロデイ脆弱性である」と述べている。セキュリティ企業である Volexity は、「最新バージョンの Zimbra-8.8.15 P29 & P30 に脆弱性が存在することを、テストで確認した。ただし、Ver 9.0.0 のテストでは、影響を受けていない可能性がある」と述べている。

Volexity によると、これまでのところ、TEMP_Heretic (中国人と思われる) という未知の脅威アクターが、このゼロデイ脆弱性をスピアフィッシング・キャンペーンで悪用し、電子メールを盗み出すのを確認しただけだという。しかし、この脆弱性を利用すると、ユーザーの Zimbra Web メール・セッションのコンテキストで。攻撃者は以下のような悪意のアクティビティを実行できる。

  • メールボックスへの持続的なアクセスを可能にするための Cookie の盗み出し
  • ユーザーの連絡先へのフィッシング・メッセージの送信
  • 信頼できる Webサイトからのマルウェア・ダウンロードを促す表示

ゼロデイを利用した電子メールの窃盗

Volexity では、2021年12月に悪用の開始を確認して以来、TEMP_Heretic が偵察メールを使って、生きている電子メール・アドレスを確認していることを検知している。攻撃の次の段階としては 12月16日前後に、悪意のリンクを埋め込んだ、スピアフィッシング・メールが複数回に分けて送信されている。

研究者たちは、「悪意のリンクをクリックすると、攻撃者のインフラは特定の URI 形式を使用して、標的となる組織の Zimbra Web メールホスト上の、ページへのリダイレクトが試みられる。ユーザーがログインしている場合には、この脆弱性を悪用して、攻撃者がログインした Zimbra セッションのコンテキストで、任意の JavaScript をロードできる」と付け加えている。

この悪意のコードにより、攻撃者は被害者のメールボックス内の電子メールを閲覧し、電子メールの内容や添付ファイルを、攻撃者の管理するサーバーに流出させることが可能になる。

研究者たちは、「この記事を書いている時点では、この脆弱性に対する公式なパッチや回避策は存在しない。Volexity は Zimbra に対して、この脆弱性を通知しており、近日中にパッチが提供されることを期待している」と述べている。

BinaryEdge のデータによると、約33,000台のサーバーが、Zimbra メール・サーバーを実行しているが、本当の数はもっと多いと思われる。Volexity は、このゼロデイ脆弱性を悪用した攻撃をブロックするために、以下の対策をとることを推奨している。

  • ここで紹介する全ての指標は、メール ゲートウェイおよびネットワークの レベルでブロックする必要がある。
  • Zimbra を使用しているユーザーは、過去のリファラー・データを分析し、疑わしいアクセスやリファラーの存在を確認する必要がある。これらのログは、デフォルトでは /opt/zimbra/log/access*.log に保存されている。
  • Zimbra のユーザーは、Ver 9.0.0 へのアップグレードを検討すべきだ。

    情報開示のタイムラインと、キャンペーン (EmailThief と名付けられた) に関連するドメインや IP アドレスを含む侵害の指標 (IoC) は、今日に Volexity が発表したレポートの最後に掲載されている。本日、BleepingComputer から問い合わせを行ったが、Zimbra の広報担当者からのコメントを得られていない。

Zimbra のユーザーベースの大きさに、少し驚きました。ベンダーである Synacor は 1998年の設立とのことなので、いわゆる老舗ですね。そして、CVE も割り当てられていない、ゼロデイ脆弱性が出てしまったわけですが、「Hotfix Available 5 Feb for Zero-day Exploit Vulnerability in Zimbra 8.8.15」という記事が、2月4日付で Zimbra のブログに出ていました。

%d bloggers like this: