Zimbra Collaboration Suite(ZCS)に確認されたクロスサイトスクリプティング(XSS)のゼロデイ脆弱性「CVE-2025-27915」が、実際に攻撃へ使われていたことが明らかになりました。米CISAは2025年10月7日付で本脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加し、米連邦機関に対して迅速な修正適用を求めています。
脆弱性の対応状況
ベンダーは1月27日に修正を公開しており、ZCS 9.0.0 P44、10.0.13、10.1.5 で当該脆弱性に対処済みです。
ただし研究者の観測では、年始の段階で悪用が始まっていた痕跡があり、更新を先延ばしにしていた組織ほど影響を受けた可能性が高まります。CISAがKEVに追加したことで、米連邦機関は所定期限(10月28日)までの修正適用が義務化されましたが、対象外の組織であっても優先度高くアップグレードすることが強く推奨されます。
概要
実際の攻撃では、偽装メールに添付した悪性ICSからBase64エンコードされたスクリプトを展開し、一定時間(約60秒)遅延して動作を始めるなど、気づかれにくい工夫が仕込まれていました。
スクリプトは表示要素を隠して痕跡を目立たなくしつつ、ログインフォームに不可視の入力欄を差し込み認証情報を抜き取る、連絡先や配布リスト、共有フォルダを収集する、3日おきに収集処理を繰り返す、といった手口で粘り強くデータを持ち出します。
メールの自動転送フィルタ名に「Correo」といった不自然な名称が用いられ、転送先にProtonのアドレスが設定されていたケースも報告されています。
外部への送信先としては ffrk[.]net 配下のエンドポイントが観測され、送信元としては 193.29.58.37 からの標的型攻撃メールの送信が実際に確認されました。
特定の国家・グループへの断定的な帰属は避けられているものの、ZimbraやRoundcubeなどのオープンソースグループウェアに対するゼロデイを見つけ、実運用環境で武器化できる攻撃者は限られており、過去の類似事例に見られる戦術と共通点も指摘されています。
出典
関連記事
トレンドマイクロ Apex Oneで複数の脆弱性-サイバー攻撃への悪用を確認(CVE-2025-54948,CVE-2025-54987)
Microsoft SharePointの深刻な脆弱性に対する攻撃が活発化 PoCも公開(CVE-2025-53770,CVE-2025-53771,CVE-2025-49704,CVE-2025-49706)
Open AI「ロシアや中国がChatGPTやAIモデルを利用し世論工作」 さらに「福島批判」記事も
偽のGoogle MeetページでPowerShellを実行させマルウェアを実行させるサイバー攻撃のキャンペーン
Microsoft SharePointで危険性の高い脆弱性-既に悪用も確認(CVE-2025-53770,CVE-2025-53771)
ハッカーがPHPの脆弱性を悪用し、日本を標的にサイバー攻撃を実行(CVE-2024-4577)
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
Go言語、3件の脆弱性を修正-1.24.4および1.23.10にアップデートを
草津市コミュニティ事業団の公式サイトが改ざん被害-偽警告からフィッシング誘導
