CISA が悪用脆弱性リストを更新:Zimbra の XSS など4件が追加

CISA adds recently disclosed Zimbra bug to its Exploited Vulnerabilities Catalog

2022/02/28 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、先日に公開された電子メール・プラットフォーム Zimbra のゼロデイ脆弱性などを含むかたちで、Known Exploited Vulnerabilities Catalog を拡張し、野放し状態で活発に悪用されている証拠を挙げた。

Zimbra Collaboration Suite のカレンダー機能における、クロスサイト・スクリプティング (XSS) の脆弱性 CVE-2022-24682 (CVSS : 6.1) は、フィッシング・メッセージ内の悪意の URL をクリックするだけで、ユーザーに任意の JavaScript コードをダウンロードさせ、それを悪用することが可能なものである。

Known Exploited Vulnerabilities Catalog は、脅威アクターによる攻撃で悪用が確認されているセキュリティ上の欠陥のうち、FCEB (Federal Civilian Executive Branch) 機関によるパッチ適用が義務付けられているものをまとめている。

この脆弱性は、2022年2月3日に サイバー・セキュリティ企業である Volexity が、欧州の政府機関や報道機関を狙った一連の標的型スピアフィッシング・キャンペーンで、被害者のメールボックスに不正アクセスし、マルウェアを仕込んでいたことで明らかになった。

Volexity は、この攻撃者を TEMP_HERETIC という名前で追跡しており、Zimbra のオープンソース版である Ver 8.8.15 に影響を及ぼしていると述べている。Zimbra は、この欠陥を修正するためのホットフィックス 8.8.15 P30 をリリースしている。

この脆弱性は潜在的な影響があるため、CISA は連邦政府機関に対して、2022年3月11日までにセキュリティ・アップデートを適用するよう求めている。CISA は、CVE-2022-24682 に加え、以下の3つの脆弱性をカタログに追加した。

CVE-2017-8570 (CVSS score: 7.8) – Microsoft Office Remote Code Execution Vulnerability
CVE-2017-0222 (CVSS score: 7.5) – Microsoft Internet Explorer Memory Corruption Vulnerability
CVE-2014-6352 (CVSS score: N/A) – Microsoft Windows Code Injection Vulnerability

Zimbra に関するポストとしては、2021年7月の「Zimbra Webmail Server を完全に乗っ取る脆弱性とは?」と、2022年2月3日の「Zimbra ゼロデイ脆弱性:未知の脅威アクターが電子メールを盗み出している」があります。後者の記事に関しては、CVE が明記されていませんが、この記事の CVE-2022-24682 とは別物のように思えます。それにしても、CISA が悪用脆弱性リストは頑張りますね。

%d bloggers like this: