CISA KEV 警告 25/10/07:Zimbra ZCS の脆弱性 CVE-2025-27915 を登録

U.S. CISA adds Synacor Zimbra Collaboration Suite (ZCS) flaw to its Known Exploited Vulnerabilities catalog

2025/10/07 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Synacor Zimbra Collaboration Suite (ZCS) の脆弱性 CVE-2025-27915 を、Known Exploited Vulnerabilities (KEV) カタログに登録した。この脆弱性 CVE-2025-27915 は、Zimbra Collaboration Suite のバージョン 9.0~10.1 に存在する、蓄積型 XSS の欠陥であり、ICS ファイル (iCalendar 形式) における HTML サニタイズの不備に起因する。悪意の ICS エントリを取り込んだメールを被害者が開くと、<ontoggle> イベントを介して JavaScript が実行され、攻撃者によるセッションの乗っ取り/メール転送設定の変更/データ窃取が引き起こされる。

StrikeReady の研究者が発見したのは、脅威アクターが悪意の iCalendar (.ICS) ファイルを用いるゼロデイ攻撃で、Zimbra Collaboration Suite の脆弱性 CVE-2025-27915 が悪用されたことだ。

これらのファイルは、カレンダー・データの共有で使用されるものであり、2025年初頭の攻撃で武器化され、JavaScript ペイロードを標的システムに配信していた。

StrikeReady のレポートには、「2025年の初頭に、”193.29.58.37″ からの送信を試行した人物がリビア海軍儀典局を偽装し、当時の Zimbra ZCS に存在していたゼロデイ脆弱性 CVE-2025-27915 を悪用し、ブラジル軍に攻撃を仕掛けた。この攻撃は、一般的なカレンダー形式を標的とする、悪意の “.ICS” ファイルを介したものだった」と記されている。

CISA Zimbra zero-day attacks


難読化された JavaScript が埋め込まれた、10KB 超の ICS ファイルを分析する過程で、研究者たちは今回の攻撃を発見した。

この悪意のスクリプトは Zimbra Web メールを標的として、認証情報/メール/連絡先/共有フォルダなどを窃取するものだ。複数の回避手法が用いられており、窃取されたデータは “ffrk.net” に送信される。

このコードは、実行を 60 秒遅延させ、活動期間を3日間に限定し、UI の手がかりを隠蔽し、非アクティブ・ユーザーをログアウトさせた上でデータを窃取する。研究者が確認したのは、このスクリプトが複数の Immediately Invoked Function Expressions (IIFE) を用いて、非同期的に動作することだった。

このマルウェアが備えている、主な機能は次のとおりである。

  • 隠しフォーム・フィールドの挿入によりユーザー名/パスワードの窃取。
  • 認証フォームに入力された情報の窃取。
  • マウス/キーボードなどの入力追跡と、セッション終了後のデータ窃取。
  • Zimbra SOAP API クエリによる、フォルダの列挙とメールの窃取。
  • 収集したメールを約4時間ごとに攻撃者のサーバへアップロード。
  • Correo というメール転送ルールの設定と、ProtonMail アドレスへの転送。
  • 認証トークンやバックアップ・トークンの窃取と、攻撃者への送信。
  • アドレス帳/配布リスト/共有フォルダからのデータ抽出。
  • 検出回避のための、ペイロード注入後 60 秒間の遅延の設定。
  • 活動を3日間に限定し、その後にクールダウン期間を設ける。
  • 画面上の要素を隠蔽/削除し、侵入の痕跡を最小化する。
  • 自己完結的なコード・ブロックの非同期実行により解析を困難にする。

StrikeReady は、この攻撃の背後にグループの存在について断定していないが、ゼロデイ攻撃を実行できる能力を有するのは、限られたリソースを持つ少数のアクターに限られると指摘している。研究者たちは、ベラルーシの APT グループ UNC1151 に類似する TTP (Tactics, Techniques, and Procedures) が確認されたとしている。

拘束力のある運用指令 (BOD) 22-01 に基づき、カタログに掲載された欠陥を悪用する攻撃からネットワークを保護するために、FCEB 機関は定められた期限までに、該当する脆弱性を修正する必要がある。CISA は連邦政府機関に対して、2025年10月28日までに、この脆弱性を修正するよう命じている。

専門家たちが民間組織に推奨するのは、このカタログを確認し、インフラの脆弱性に対処することである。

Zimbra における ICS (iCalendar) 取り込み時に、HTML のサニタイズが不十分であったことがこの脆弱性の原因だと指摘されています。蓄積型 XSS により、<ontoggle> などイベント経由で難読化された JavaScript が実行され、セッション乗っ取り/メール転送設定の改変/データ窃取が可能になっていたようです。実行遅延や非同期化で検出を回避する工夫も見られ、カレンダー・ファイルからのスクリプト混入により、深刻な影響が生じると、この記事は指摘しています。よろしければ、2025/10/05 の「Zimbra の脆弱性 CVE-2025-27915:iCalendar ファイルを介した XSS 攻撃の痕跡が発見される」も、ご参照ください。