Hackers exploited Zimbra flaw as zero-day using iCalendar files

より大きな.ICSカレンダーの添付ファイルを監視していた研究者は、Zimbra Collaboration Suite(ZCS)の欠陥が年初のゼロデイ攻撃に利用されていたことを発見した。

iCalendarファイルとしても知られるICSファイルは、カレンダーやスケジュール情報(会議、イベント、タスク)をプレーンテキストで保存し、さまざまなカレンダーアプリケーション間で交換するために使用されます。

脅威者は、ZCS 9.0、10.0、10.1のクロスサイトスクリプティング(XSS)の脆弱性CVE-2025-27915を悪用し、ターゲットシステムにJavaScriptペイロードを配信しました。

この脆弱性は、ICSファイル内のHTMLコンテンツのサニタイズが不十分であることに起因しており、攻撃者は、被害者のセッション内で、メッセージをリダイレクトするフィルタを設定するなど、任意のJavaScriptを実行することが可能でした。

Zimbra社は1月27日、ZCS 9.0.0 P44、10.0.13、10.1.5をリリースし、このセキュリティ問題に対処したが、積極的な悪用活動については言及していなかった。

しかし、AI主導のセキュリティ・オペレーションと脅威管理プラットフォームを開発するStrikeReady社の研究者は、10KBを超え、JavaScriptコードを含む.ICSファイルに目を光らせた結果、この攻撃を発見した。

彼らは、Zimbraがパッチをリリースする前の1月初旬に攻撃が開始されたことを突き止めた。

脅威者は、ブラジルの軍事組織を標的にしたゼロデイ・エクスプロイトを配信する電子メールの中で、リビア海軍のOffice of Protocolになりすました。

Malicious email sent by the attackers
攻撃者が送信した悪意のある電子メール
ソースはこちら:ストライクレディ

悪意のあるメールには、Base64エンコーディング方式を使用して難読化されたJavaScriptファイルを含む00KBのICSファイルが含まれていました。

Deobfuscating the JavaScript payload
JavaScriptペイロードの難読化解除
Source:StrikeReady:StrikeReady

研究者の分析によると、このペイロードはZimbra Webmailから認証情報、電子メール、連絡先、共有フォルダなどのデータを盗むように設計されています。

StrikeReadyによると、悪意のあるコードは非同期モードで実行され、さまざまな即時呼び出し関数式(IIFE)に実装されているとのことです。研究者は、このコードが以下のアクションを実行する可能性があることを発見しました:

  • ユーザー名/パスワードの隠しフィールドを作成する
  • ログインフォームから認証情報を盗む
  • ユーザーのアクティビティ(マウスとキーボード)を監視し、非アクティブユーザーをログアウトさせて盗難を誘発する。
  • Zimbra SOAP API を使用してフォルダを検索し、電子メールを取得する。
  • メールの内容を攻撃者に送信 (4 時間ごとに繰り返す)
  • Correo」という名前のフィルタを追加し、メールをProtonアドレスに転送する
  • これらの認証/バックアップアーティファクトを収集し、それらを流出させる。
  • 連絡先、配布リスト、共有フォルダの流出
  • 実行前に60秒の遅延を追加
  • 3日間の実行ゲートを強制(最後の実行から3日以上経過した場合のみ再実行)
  • ユーザーインターフェース(UI)要素を非表示にし、視覚的な手がかりを減らす

StrikeReadyは、この攻撃が既知の脅威グループによるものであると高い信頼性をもって断定することはできなかったが、広く使用されている製品のゼロデイ脆弱性を発見できる攻撃者は少数であると指摘し、「ロシアに関連するグループが特に多発している」と言及した。

研究者はまた、Mandiant がベラルーシ政府と関連付けた脅威グループである UNC1151 に起因する攻撃において、同様の戦術、技術、手順(TTP)が観察されていることにも言及しています。

StrikeReady のレポートでは、侵害の指標と、.INC カレンダーファイルを悪用した攻撃による JavaScript コードの難読化解除バージョンを共有しています。

StrikeReadyでは、この活動に関する質問をZimbra社に問い合わせており、同社の声明が届き次第、この記事を更新する予定です。

更新 10/6– Zimbraの広報担当者によると、同社のデータによると、この悪用活動は広まっていないようです。

また、同社はユーザーに対し、以下のセキュリティ対策を講じることを推奨している:

  1. 既存のメールフィルターに不正な変更がないか確認する。
  2. Zimbraのインストールが最新のパッチに更新されていることを確認する。
  3. メッセージストアにBase64エンコードされた.ICSエントリがないか確認し、ネットワークアクティビティに異常や不審な接続がないか監視する。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus BAS Summit

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。