CISA KEV 警告 25/05/19:MDaemon Email Server の脆弱性 CVE-2024-11182 を登録

CISA Includes MDaemon Email Server XSS Flaw in KEV Catalog

2025/05/20 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2025年5月19日付けで、MDaemon Email Server に影響を及ぼすクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2024-11182 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性が浮き彫りにするのは、細工された HTML メールによる悪意の JavaScript コードの挿入を、攻撃者に許してしまうセキュリティ上の欠陥である。

連邦政府機関に対しては、2025年6月9日までに、必要な是正措置を実施することが求められている。また、すべての民間組織に対しても推奨されるのは、この脆弱性に迅速に対処し、潜在的なセキュリティ侵害を防ぐことだ。

この脆弱性は、MDaemon Email Server のバージョン 24.5.1c 未満に影響を及ぼし、攻撃者に対して、HTML メール・メッセージ内に、特に画像タグ内に JavaScript コードの埋め込みを許すものだとされる。

Web メール・インターフェイスを介して、受信者が悪意のメールを閲覧すると、任意の JavaScript コードがユーザーのブラウザ内で実行され、攻撃者に対して、ブラウザの機密データや機能へのアクセスを許す可能性が生じる。

この脆弱性は、すでに実環境で武器化されており、ロシア政府が支援する脅威アクターによる悪用を示唆する証拠も存在している。

セキュリティ研究者たちが指摘するのは、APT28 グループが “Operation Round Press” と呼ばれるサイバー・スパイ活動において、この脆弱性を利用している可能性である。

脆弱性 CVE-2024-11182 の CVSS スコアは 6.1 と評価されているが、アクティブな活動で悪用されていることから、そのリスク・プロファイルは著しく高まっている。なお、この脆弱性は CWE-79 (Web ページ生成中における入力の不適切な無効化) カテゴリに分類されている。

CISA のアドバイザリは、「このクロスサイト・スクリプティングの脆弱性は、クライアント側のセキュリティ制御を回避し、信頼されるアプリケーションのコンテキストで実行される可能性があるため、特に危険である」と説明している。

連邦政府機関への影響

拘束的運用指令 (BOD) 22-01 に基づき、すべての連邦文民行政機関 (FCEB) は、この脆弱性を 2025年6月9日までに修正する必要がある。

この指令は、既知の悪用された脆弱性に対処するために、連邦政府機関が義務的なタイムラインを確立し、CISA のリスク・ベースの脆弱性管理アプローチに従うことを示している。

KEV カタログは、理論上のリスクではなく、差し迫った脅威をもたらす脆弱性に焦点を当て、修復活動の優先順位付けを行うための重要なリソースとして浮上している。

潜在的な影響を、過度に重視する可能性のある従来の脆弱性スコアリング・システムとは異なり、KEV は実際の悪用が確認されている脆弱性を、特に強調するものとなっている。

CISA の公式ガイダンスには、「KEV カタログが、すべての組織に送る明確なメッセージは、被害をもたらす可能性の高い脆弱性を、攻撃者の活動に基づいて抽出し、優先的な修復活動を促すものだ」と記載されている。

組織への推奨アクション

MDaemon Email Server を使用している組織は、バージョン 24.5.1c 以降へと速やかにアップデートし、この脆弱性を軽減する必要がある。

迅速な更新が不可能な場合には、疑わしい JavaScript コードを取り込んだメールをブロックするために、WAF やメール・フィルタリング・システムなどの導入が推奨される。

セキュリティ専門家たちが強調するのは、この脆弱性の積極的な悪用に注視し、緊急に対処する必要性である。

あるセキュリティ・アドバイザリには、「この CVE に関連付けられた “In The Wild” タグは、ハッカーによる積極的な悪用を示している。つまり、早急な緩和策の実施が必要であることを示している」と述べている。

CISA が推奨するのは、Stakeholder-Specific Vulnerability Categorization (SSVC) などの広範な脆弱性管理フレームワークに KEV カタログを組み込み、深刻度スコアだけではなく、実際の悪用リスクに基づいた、脆弱性の適切なトリアージを実施することだ。

CISA の Wev サイトから CSV/JSON などの形式で抵抗される、KEV カタログにアクセスし、更新をサブスクライブすることで、新たに追加された脆弱性の最新情報を入手できる。

MDaemon Email Server の脆弱性が CISA KEV に登録されました。同日に KEV カタログに登録された脆弱性は、以下の5件となりますが、Ivanti EPMM の脆弱性 に関しては、「CISA KEV 警告 25/05/19:Ivanti EPMM の脆弱性 CVE-2025-4427/4428 を登録」という記事でも取り上げています。当該製品をご利用のチームは、十分にご注意ください。よろしければ、CISA KEV ページと併せて、ご参照ください。