Zimbra patches zero-day vulnerability exploited in XSS attacks
2023/07/27 BleepingComputer — Zimbra Collaboration Suite (ZCS) メール・サーバを標的とする攻撃で悪用された、ゼロデイ脆弱性を修正するセキュリティ・アップデートが、最初の情報公開から2週間後にリリースされた。この、脆弱性 CVE-2023-38750 は、Google Threat Analysis Group のセキュリティ研究者である Clément Lecigne により発見された反射型 XSS (Cross-Site Scripting) である。XSS 攻撃は深刻な脅威であり、その悪用に成功した脅威アクターは、脆弱なシステム上での機密情報の窃取や、悪意のコード実行を可能にする。
Zimbra は、この脆弱性について最初に公開した際に、野放し状態で悪用されていることを示さず、ユーザーに手動で修正するよう促していたが、Google TAG の Maddie Stone が、ある標的型攻撃を証左している最中に、この脆弱性が悪用されていることを発見した。
発表当時の Zimbra は、「最高レベルのセキュリティを維持するために、すべてのメールボックス・ノードに対して手動で修正プログラムを適用してほしい」と述べており、このセキュリティ・バグを手動で緩和するよう、管理者たちに求めていた。
最初のアドバイザリが発表されてから2週間後 7月26日 (水) に、Zimbra はZCS 10.0.2 をリリースした。このバージョンでは、脆弱性 CVE-2023-38750 が修正されている。
Zimbra の XSS バグは、遅くとも 2023年2 月以降において、ロシアのハッキング・グループ Winter Vivern により悪用され、NATO に加盟する各国政府の Web メール・ポータルへの侵入により、政府高官/軍人/外交官たちの電子メールが盗み出された。
連邦政府機関に3週間以内のパッチ適用を要請
7月27日に米 CISA は、米連邦政府機関に対して、CVE-2023-38750 攻撃からシステムを保護するよう警告した。そして、この脆弱性は、KEV (Known Exploited Vulnerabilities) に追加された。
2021年11月に発行された拘束力のある運用指令 (BOD 22-01) に従い、連邦民間行政機関 (FCEB) に対しては、ネットワーク上の脆弱な ZCS メール・サーバへのパッチ適用が義務付けられた。8月17日までに、すべてのデバイス上の脆弱性 CVE-2023-38750 を緩和するよう、それぞれの組織は命じられ、3週間という遵守期限が設定された。
このカタログは、主に米国連邦政府機関を対象としているが、KEV カタログに記載されている脆弱性へのパッチ適用は、民間企業においても優先的に実施されることが強く推奨されている。
CISA は、「この脆弱性は、悪意のサイバー行為者が、頻繁に悪用する攻撃ベクターであり、連邦政府企業にとって重大なリスクとなる」と警告している。
また、7月25日 (火) にも CISA は、Ivanti の Endpoint Manager Mobile (EPMM) の認証バイパス・バグに対処するよう、米連邦政府機関に命じた。このバグはゼロデイとして悪用され、ノルウェーの 12省庁が使用するソフトウェア・プラットフォームのハッキングに悪用された。
この Zimbra のゼロデイ脆弱性 CVE-2023-38750 ですが、2023/07/13 の「Zimbra Collaboration Suite に深刻なゼロデイ脆弱性:管理者に推奨されるパラメータの変更とは?」が、第一報のようです。そのときには、CVE が割り当てられていませんでしたが、Google TAG により発見/報告された、反射型クロス・サイト・スクリプティング (XSS) の脆弱性だと記述されているので、間違いはないでしょう。広い範囲で利用されている Zimbra だけに、影響が心配です。
IoT OT Security News 
You must be logged in to post a comment.