CISA 警告:Zimbra Email の深刻な脆弱性 CVE-2022-27924 を KEV リストに追加

CISA Adds Zimbra Email Vulnerability to its Exploited Vulnerabilities Catalog

2022/08/04 TheHackerNews — 8月4日に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Eメールソフト Zimbra の最近公開された深刻な脆弱性を、活発に悪用されている証拠があるとして、KEV カタログに追加した。この問題は、CVE-2022-27924 (CVSS:7.5) として追跡されているコマンド・インジェクションの脆弱性で、任意の Memcached コマンドの実行/機密情報の窃取につながる可能性がある。


CISA は、「攻撃者は、Zimbra Collaboration (ZCS) の対象となるインスタンスに memcached コマンドを注入し、任意のキャッシュ・エントリの上書きが可能になる」と述べている。

この脆弱性は、ユーザー入力の検証が不十分なケースに関するもので、悪用に成功した場合、攻撃者は標的となる Zimbra インスタンスのユーザーから、平文の認証情報の窃取が可能になるとのことだ。

この問題は、2022年6月に SonarSource により発見され、Zimbra は 2022年5月10日にバージョン8.8.15 P31.1/9.0.0 P24.1 でパッチをリリースしている。CISA は、この野放し状態で悪用されている脆弱性への攻撃について、技術的な詳細を共有していない。また、特定の脅威アクターに起因するものであるとも断定していない。

この脆弱性が活発に悪用されていることから、潜在的なサイバー攻撃への露出を減らすために、ソフトウェアのアップデート適用が推奨される。

Zimbra の脆弱性ですが、6月15日の CVE-2022-27924 を取り上げた記事で、ユーザー操作なしでEメールのログイン情報が窃取されると紹介されていました。お隣のキュレーションチームにも確認したところ、最初のレポートは 5月4日だと言っていました。なお、この記事の元データは、SonarSource の Zimbra 8.8.15 – Webmail Compromise via Email のようです。詳細が解説されています。

%d bloggers like this: