Zimbra、XSS攻撃で悪用されたゼロデイ脆弱性を修正

最初の公開から 2 週間後、Zimbra は、Zimbra Collaboration Suite (ZCS) 電子メール サーバーをターゲットとした攻撃で悪用されたゼロデイ脆弱性にパッチを適用するセキュリティ アップデートをリリースしました。

現在CVE-2023-38750として追跡されているこのセキュリティ欠陥は、Google Threat Analysis Group のセキュリティ研究者 Clément Lecigne によって発見された クロスサイト スクリプティング (XSS) を反映したものです。

XSS 攻撃は重大な脅威をもたらし、攻撃者が機密情報を盗んだり、脆弱なシステム上で悪意のあるコードを実行したりすることを可能にします。

Zimbraはこの脆弱性を最初に公開した際にゼロデイが悪用されていることを示さず、 ユーザーに手動で修正するよう促したが、Google TAGのMaddie Stone氏は、この脆弱性は標的型攻撃で悪用された際に発見されたことを明らかにした。

Zimbraは当時「最高レベルのセキュリティを維持するため、すべてのメールボックスノードに手動で修正を適用するようご協力をお願いします」と述べ、管理者に対しセキュリティバグを手動で軽減するよう求めた。

最初のアドバイザリが公開されてから 2 週間後の水曜日、同社はZCS 10.0.2 をリリースしました。このバージョンは、「内部 JSP および XML ファイルの漏洩につながる可能性がある」CVE-2023-38750 バグも修正されています。

別の反映された Zimbra XSS バグは、少なくとも 2023 年 2 月以降、ロシアのハッカー集団 Winter Vivern によって悪用され、 NATO 加盟政府のウェブメール ポータルに侵入し、政府高官、軍人、外交官の電子メールを盗み出しました。

連邦政府機関は3週間以内にパッチを適用するよう要請

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は本日、 米国連邦政府機関に対し、CVE-2023-38750攻撃からシステムを保護するよう警告した。

同庁はこの脆弱性を既知の悪用された脆弱性カタログに追加し、連邦文民行政府機関（FCEB）に対し、2021年11月に発行された拘束力のある運用指令（BOD 22-01）に従ってネットワーク上の脆弱なZCS電子メールサーバーにパッチを適用することを義務付けている。

CISAはまた、順守期限を3週間に設定し、8月17日までにパッチが適用されていないすべてのデバイスの欠陥を軽減するよう命じた。

このカタログは主に米国連邦機関に焦点を当てていますが、民間企業にも、CISA の悪用されたバグのカタログに記載されているすべての脆弱性に対して優先順位を付けてパッチを実装することが強く推奨されています。

CISAは本日、「この種の脆弱性は悪意のあるサイバー攻撃者による頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらす」と警告した。

今週火曜日、CISAはまた、ノルウェーの12の省庁が使用するソフトウェアプラットフォームをハッキングするためのゼロデイとして悪用された、IvantiのEndpoint Manager Mobile (EPMM)（旧MobileIron Core）の認証バイパスバグに対処するよう米国連邦政府機関に命令した。