Zimbra CVE-2024-27443 XSS Flaw Hits 129K Servers, Sednit Suspected
2025/05/24 hackread — 人気のメール/コラボレーション・プラットフォーム Zimbra Collaboration Suite (ZCS) に、新たなセキュリティ上の脆弱性が発見された。この脆弱性 CVE-2024-27443 は、クロスサイト・スクリプティング (XSS) の一種であり、情報窃取やユーザー・アカウント乗っ取りを、攻撃者に許す可能性がある。
脆弱性の仕組み
この問題は、Zimbra の Classic Web Client インターフェイスの CalendarInvite 機能に存在する。具体的に言うと、メールのカレンダー・ヘッダーに含まれる受信情報を、適切にチェックしないシステムの問題である。
この見落としにより、蓄積型 XSS 攻撃の脆弱性が発生する。つまり、攻撃者は、特別に細工したメールに、有害なコードを埋め込むことが可能になる。Zimbra の Classic Web Client インターフェイを介して、悪意のメールを開く善意のユーザーにより、不正なコードが Web ブラウザ内で自動的に実行され、攻撃者によるセッションへのアクセスが可能になる。この脆弱性の深刻度の CVSS スコアは 6.1 (Medium) であり、ZCS バージョン 9.0 (Patch 1~38) および 10.0 (10.0.6 以下) に影響を及ぼす。
広範囲にわたる露出と活発な悪用
サイバー・セキュリティ分析会社 Censys によると、最初のレポートが公開された 2025年5月22日 (木) 時点で、多数の Zimbra Collaboration Suite インスタンスがオンラインで露出しており、攻撃の可能性がある状態だった。
Censys が確認したのは、世界中に存在する 129,131 個の潜在的に脆弱な ZCS インスタンスであり、その大半が、北米/ヨーロッパ/アジアに展開されるものだという。これらのインスタンスの大部分は、クラウド・サービス内でホストされている。さらに確認されたのは、共有インフラにリンクされていることが多い、33,614 台のオンプレミスの Zimbra ホストである。
この脆弱性は、2025年5月19日に CISA の KEV カタログに登録され、攻撃者による活発な悪用が確認されている。
犯人の可能性は?
その一方で、ESET のセキュリティ研究者たちが示唆するのは、著名なハッカー集団である Sednit (PDF) (別名 APT28/Fancy Bear) が、この脆弱性を悪用している可能性である。
ログイン情報の窃取と、Web メール・プラットフォームへのアクセス維持を試みる Sednit グループが、”Operation RoundPress” と呼ばれる大規模なキャンペーンの一環として、この脆弱性を悪用している可能性があると、ESET の研究者たちは疑っている。
現時点において、PoC エクスプロイトは公開されていないが、実際の悪用が観測されているため、ユーザーにとって必要なことは緊急の対策となる。
パッチ適用と緩和策
幸いなことに、この脆弱性に対するパッチが提供されている。すでに Zimbra は、ZCSバージョン 9.0.0 Patch 39/10.0.7 をリリースし、この問題に対処している。潜在的な攻撃から身を守るために、これらのパッチ適用済みバージョンへと、Zimbra Collaboration Suite を速やかにアップデートすることが強く推奨される。
Zimbra ZCS の脆弱性 CVE-2024-27443 の悪用が確認されています。現時点では、まだ PoC は公開されていないとのことですが、ご利用のチームは、パッチ適用をお急ぎください。よろしければ、Zimbra で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.