Zimbra Collaboration GraphQL Flaw Lets Hackers Steal User Information
2025/04/30 gbhackers — Zimbra Collaboration Suite (ZCS) に存在する深刻なクロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2025-32354 により、メール・サーバとユーザー・データに悪用のリスクが生じている。この脆弱性の影響が及ぶ範囲はバージョン 9.0 〜 10.1 であり、その悪用に成功した攻撃者は、認証済みセッションの乗っ取りや、パスワード/連絡先/メールの内容などの機密情報の窃取を可能にするという。
この脆弱性は、Zimbra の GraphQL エンドポイント (/service/extension/graphql) に存在するが、そこでは CSRF トークンの検証が欠落している。
したがって、それを悪用するかたちで、ログイン済みの Zimbra ユーザーがアクセスするときに、不正な GraphQL 操作をトリガーする悪意の Web サイトやリンクを、攻撃者が作成する可能性がある。それにより、脅威アクターは、以下のことを可能にする:
- 被害者の連絡先リストの変更またはエクスポート
- アカウント設定 (パスワード/自動転送ルールなど) の変更
- メール/カレンダー/ファイル共有権限へのアクセス
- 権限昇格によるドメイン全体への侵害
従来からの CSRF 攻撃とは異なり、このエクスプロイトは GraphQL の柔軟なクエリ構造を悪用して、標準的なセキュリティ・チェックを回避していく。
エクスプロイトの影響とリスク
世界中の 20万以上の組織で使用されている Zimbra Collaboration は、フィッシングやデータ窃盗の主要な標的となっている。したがって、このエクスプロイトが成功すると、以下のような被害が生じる可能性がある。
- 企業スパイ:機密情報の窃取
- アカウント乗っ取り:メールの転送やユーザーのロックアウト
- 認証情報の窃取:盗まれたパスワードの横方向への攻撃での再利用
緩和策とパッチ
すでに Zimbra は、2025年4月28日付けでバージョン 10.1.1 をリリースし、この脆弱性に対処している。管理者に対して強く推奨されるのは、以下の対応である:
- パッチ適用済みバージョンへの、速やかなアップグレード
- GraphQL リクエストに対する、X-Zimbra-CSRF-Token などのヘッダーを用いた CSRF トークンの強制
- 異常な GraphQL アクティビティの監査ログの取得による、予期しない連絡先のエクスポートなどへの対応
速やかなアップグレードが不可能な組織向けの一時的な修正としては、次のものがある:
- GraphQL エンドポイントへのアクセスの制限
- リクエストの送信元を検証するためのリバース・プロキシ・ルールの実装
Zimbra がアドバイザリで強調しているのは、この脆弱性の深刻度を確認していること、そして、クラウド・ホスト・インスタンスには自動的にパッチが適用されていることである。
オンプレミス・ユーザーは、手動でアップデートを適用する必要がある。また、セッション・ハイジャックのリスクを軽減するために、多要素認証 (MFA) の有効化も推奨されている。
- Admin Console > Maintenance で ZCS のバージョンを確認
- 既知の連絡先からのリンクであっても、不審なリンクを避けるよう、従業員を教育する
- 今後のアドバイザリについて、Zimbra のセキュリティ・ポータルをチェックする
CSRF の脆弱性は、Web アプリケーションにおいて、依然として根深い脅威である。この種のインシデントが強調するのは、特に機密データを扱うコラボレーション・ツールにおける、堅牢なトークン・ベースの認証メカニズムの必要性である。
いつも標的にされてしまう Zimbra ですが、今回は GraphQL が関連する脆弱性とのことです。たまに見かける GraphQL ですが、2021/12/08 に「Salt Security レポート:REST API の後継とされる GraphQL の脆弱性について」をポストしていますので、よろしければ、Zimbra で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.