CVE-2024-33533 to 33536: Zimbra Users at Risk of XSS and LFI Attacks
2024/08/15 SecurityOnline — 電子メールとコラボレーションのプラットフォームである Zimbra Collaboration に、新たに3件のセキュリティ脆弱性が発見された。それらの脆弱性 CVE-2024-33533/CVE-2024-33535/CVE-2024-33536 は、Zimbra Collaboration のバージョン 9.0/10.0 に影響し、XSS (cross-site scripting) 攻撃や、LFI (local file inclusion) 攻撃を引き起こす可能性を持つ。
脆弱性の詳細
- CVE-2024-33533:この脆弱性は、Zimbra の管理インターフェイスに存在し、’packages’ パラメータの不適切な入力検証に起因する。悪用に成功した、認証された攻撃者は、ターゲットのブラウザ・セッションのコンテキスト内で、悪意の JavaScript コードの注入および実行が可能になる。
- CVE-2024-33535:この脆弱性は、Web アプリケーション内の認証されていないローカル・ファイルの取り込みに関連し、特に ‘packages’ パラメータの処理に関連する。この脆弱性の悪用に成功した攻撃者は、認証を必要とすることねく任意のローカル・ファイルをインクルードし、定義されたディレクトリ内の機密情報への不正アクセスを達成し得る。
- CVE-2024-33536:この脆弱性は、’res’ パラメータの不十分な入力検証から生じる蓄積型 XSS を引き起こす。CVE-2024-33533 と同様に、悪用に成功した認証された攻撃者は、他のユーザーのブラウザ・セッションのコンテキスト内で、任意の JavaScript コードを注入し、実行する可能性を手にする。
Zimbra 脆弱性の歴史的背景
現時点において、これらの脆弱性の積極的な悪用は発見されていない。しかし、Zimbra Collaboration は広範に使用されており、攻撃が成功した場合の潜在的な影響が大きく、脅威アクターたちの格好の標的とされてきた。最近の Zimbra 関連のセキュリティ・インシデントの例は下記の通りだ:
- 2022年8月:Zimbra のコマンド・インジェクションの脆弱性 CVE-2022-27924 が、積極的な悪用が確認されたとして、CISA の KEV カタログに追加された。
- 2022年10月:Zimbra の RCE 脆弱性 CVE-2022-41352 の、積極的に悪用が確認された。
- 2023年3月:ロシアのハッキング・グループである TA473 が、パッチが適用されていない Zimbra のエンドポイントの脆弱性を悪用して、NATO 同盟政府を標的としたスパイ活動を展開した。
- 2023年11月:Zimbra のゼロデイ脆弱性CVE-2023-37580 が、国際政府機関を標的とした攻撃に悪用されているのを、Google の Threat Analysis Group (TAG) が発見した。
早急な対策が必要
Zimbra の過去の事例および、新しい脆弱性の潜在的な重大性を考慮すると、Zimbra Collaboration を利用している組織に対して推奨されるのは、最新のセキュリティ・パッチを速やかに適用することである。これらの欠陥に対処しなかった場合には、データ漏洩/システム侵害/深刻な業務妨害などの可能性が生じる。
文中でも指摘されていますが、狙われやすい Zimbra ですので、ご利用のチームは、パッチを お急ぎください。このブログ内を調べた限りでは、今年に入ってから初めての、Zimbra の脆弱性となります。よろしければ、 Zimbra で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.