# 深刻なXSS脆弱性により10,000以上のZimbraサーバーが活発な攻撃に晒される  非営利セキュリティ組織である**Shadowserver**によると、オンラインでアクセス可能な10,000以上の**Zimbra Collaboration Suite (ZCS)**インスタンスが、現在進行中のクロスサイトスクリプティング（XSS）セキュリティ脆弱性を悪用した攻撃に対して脆弱であることが判明しました。 **Zimbra**は、世界中の数億人のユーザー、政府機関、企業によって利用されている、広く普及している電子メールおよびコラボレーションソフトウェアスイートです。 ## CVE-2025-48700：脆弱性 **CVE-2025-48700**として追跡されているこの脆弱性は、**ZCS**バージョン8.8.15、9.0、10.0、および10.1に影響を与えます。認証されていない攻撃者がユーザーセッション内で任意のJavaScriptを実行することにより、機密情報にアクセスすることを可能にします。この脆弱性の悪用にはユーザーの操作は不要で、ユーザーがZimbra Classic UIで悪意のあるメールを表示した際にトリガーされる可能性があります。 **Synacor**は、2025年6月にこの脆弱性に対するセキュリティパッチをリリースしました。 ## CISA、CVE-2025-48700をKEVカタログに追加 月曜日、**米国サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）**は、**CVE-2025-48700**が現在活発に悪用されていることを指摘し、[既知の悪用脆弱性（KEV）カタログ](https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-48700)に追加しました。**CISA**は、連邦民間執行機関（FCEB）に対し、3日以内の4月23日までに**Zimbra**サーバーのパッチ適用を指示しました。 ## パッチ未適用のサーバーは引き続き危険に晒される 金曜日の時点で、**Shadowserver**は、10,500以上の**Zimbra**サーバーがパッチ未適用であり、主にアジア（3,794）とヨーロッパ（3,793）に位置していると報告しています。  *オンラインで公開されているパッチ未適用のZimbraサーバー（Shadowserver）* ## APT28による悪用と過去の攻撃 **CISA**は**CVE-2025-48700**の攻撃に関する具体的な詳細を公開していませんが、別のXSS脆弱性である**CVE-2025-66376**は、国家支援の**APT28**（別名Fancy Bear、Strontium）によって、1月に始まったウクライナ政府機関を標的としたphishing攻撃で悪用されました。**Seqrite Labs**によってOperation GhostMailと名付けられたこのキャンペーンは、悪意のある電子メールを介して難読化されたJavaScript payloadを配信することを含んでいました。 近年、**Zimbra**の脆弱性は頻繁に標的とされています。2023年2月には、ロシアのWinter Vivernサイバースパイグループが、反射型XSS脆弱性を悪用して**Zimbra** Webmailポータルを侵害し、NATO関連組織から電子メールを盗み出しました。さらに最近では、2024年10月に、米国および英国のサイバー機関は、**APT29**（別名Cozy Bear、Midnight Blizzard）が脆弱な**Zimbra**サーバーを標的にして電子メールアカウントの認証情報を盗み出そうとしていると警告しました。