CISA Flags Actively Exploited Zimbra (CVE-2023-34192) and Microsoft (CVE-2024-49035) Vulnerabilities
2025/02/25 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2つの深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、警告を発している。この CISA の動きは、ユーザー組織のシステムに対して速やかにパッチを適用して、積極的な悪用のリスクを軽減する必要があることを強調している。
新たにフラグが付けられた脆弱性 CVE-2023-34192/CVE-2024-49035 は、広範なプラットフォームをターゲットにするものであり、公共/部門の組織に対して、深刻な脅威をもたらす。
1つ目の脆弱性は、Zimbra Collaboration Suite (ZCS) バージョン8.8.15 に影響を及ぼす、深刻度の高いクロス・サイト・スクリプティング (XSS) の欠陥 CVE-2023-34192 (CVSS:9.0) である。この脆弱性の悪用に成功したリモートの攻撃者は、/h/autoSaveDraft 関数を介して悪意のスクリプトを挿入できる。それにより、任意のコードが実行され、侵害されたシステムの完全な制御を、攻撃者に許す可能性が生じる。
Zimbra ZCS 8.8.15 における、この XSS 脆弱性の積極的な悪用は、深刻な懸念を生み出している。このバージョンを用いる組織は、Patch 40 を速やかに適用し、環境を保護する必要がある。このパッチ適用が遅滞すると、深刻なデータ侵害やシステム侵害にいたる可能性がある。Zimbra ZCS 8.8.15 のユーザーに対して、強く推奨されるのは、遅滞なく Patch 40 へと更新することである。
2つ目の深刻な脆弱性 CVE-2024-49035 (CVSS:8.7) は、Microsoft の “partner.microsoft.com” 内の権限昇格の欠陥である。この脆弱性の悪用に成功した未認証の攻撃者は、不適切なアクセス制御を悪用して、ネットワーク上で権限昇格を達成する。
2024年11月の時点で Microsoft は、この脆弱性を公開し、研究者である Gautam Peri/Apoorv Wadhwa と、匿名のコントリビューターによる発見を称賛している。しかし Microsoft は、実際の悪用の詳細について口を閉ざし続けている。
Microsoft は、Power Apps のオンライン・バージョンに対して、自動修正プログラムを展開している。Microsoft Partner Portal を利用している組織は、システムの更新を確認し、潜在的な攻撃から保護するための、強力なセキュリティ対策を実装する必要がある。
CISA は連邦民政局 (FCEB) 機関に対して、2025年3月18日までに、上記の脆弱性に対するパッチ適用を義務付けている。
Zimbra の脆弱性と Microsoft Partner Center の脆弱性が、CISA KEV に登録されました。どちらも既に修正されていますので、ご利用のチームは、いま一度ご確認ください。ここのところ、CISA KEV の更新が続いています。よろしければ、CISA KEV ページも、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.