Kaspersky Labは10月13日(米国時間)、「Ongoing exploitation of CVE-2022-41352(Zimbra 0-day)| Securelist」において、「Zimbra Collaboration Suite(ZCS)」に存在したゼロディ脆弱性が未知の持続的標的型攻撃(APT: Advanced Persistent Threat)グループに悪用されていると伝えた。Kaspersky Labの調査により、未知の持続的標的型攻撃グループがこの脆弱性を積極的に悪用し、中央アジアにある脆弱なサーバを組織的に感染させていることが明らかとなった。

  • Ongoing exploitation of CVE-2022-41352(Zimbra 0-day)| Securelist

    Ongoing exploitation of CVE-2022-41352(Zimbra 0-day)| Securelist

積極的に悪用されているこの脆弱性は「CVE-2022-41352」として特定されており、深刻度がCVSSv3スコア値9.8でCritical(緊急)と位置づけられている。この脆弱性は「Amavis」と呼ばれるZimbraのコンポーネント、より具体的にはアーカイブを抽出するために使用されるcpioユーティリティの脆弱性「CVE-2015-1197」が影響している。

この脆弱性のエクスプロイトシナリオは次の手順で実行される。

  1. 攻撃者が悪意のあるtarアーカイブを添付した電子メールを送信
  2. Zimbraが電子メールを受信するとスパムおよびマルウェア検査のためにAmavisに送信
  3. Amavisが電子メールの添付ファイルを分析。cpioが起動された時に「CVE-2015-1197」がトリガーされる
  4. 抽出中、Webメールコンポーネントが使用するパブリックディレクトリのひとつにSP Webシェルが展開される。攻撃者はWebシェルにブラウズして、被害者マシン上で任意のコマンドの実行を開始することが可能となる
  • in the context of CVE-2022-41352、the exploitation scenario unfolds| Securelist

    in the context of CVE-2022-41352, the exploitation scenario unfolds| Securelist

Zimbraは、この脆弱性に対応したセキュリティパッチを適用した「Zimbra Collaboration Suite 9.0.0 P27」を2022年10月10日に公開している。Zimbra Collaboration Suiteを利用しているユーザは内容を確認するとともに、問題が修正された最新版へアップデートすることが推奨されている。