組み合わせて悪用される脆弱性

Zimbra Collaboration Suite（以下、ZCS）という製品があります。
これは高機能のメール機能やスケジューラ機能、アドレス帳機能、ファイル共有機能、タスク機能などを総合的に提供する、オープンソースベースのメッセージングとコラボレーションソリューションです。
このZCSに複数の脆弱性が確認されています。

• CVE-2022-27925
  これはリモートコード実行を可能にしてしまう脆弱性です。
  2022年3月に脆弱性が公表され、修正モジュールが公開されています。
  ただ、公開された情報の中に、この脆弱性を悪用するためには管理者の資格情報が必要である旨も記載されていました。
  これが関係しているのか、当時公開された攻撃コードは確認されませんでした。
• CVE-2022-37042
  これは認証バイパスを可能にしてしまう脆弱性です。
  2022年7月末に脆弱性が公表され、修正モジュールが公開されています。

この2つの脆弱性の修正モジュール提供の時期はずれています。
その間にあたる2022年6月末頃にCVE-2022-27925を認証バイパスしながら悪用することで多くの侵害を実現してしまっていることが調査で明らかになりました。
どうやら攻撃者はCVE-2022-37042の問題がCVE-2022-37042として対処される前にこれを発見し悪用準備をし実際に侵害行為に使用したということのようです。

侵害されたことが確認されているZCSのインスタンスの数は世界で1000を超えています。
ZCSを使用している組織で2022年5月くらいの時点でCVE-2022-27925の修正を適用していなかったものについては詳細に調査することが推奨されます。

一つ一つの脆弱性はそれはそれで問題です。
脆弱性ですから。
でも、一つ一つの脆弱性はそれぞれに前提条件があることが多く、その前提条件が満たされない限りその脆弱性は悪用されることがないというものもあります。
しかし複数の脆弱性が一つのシステムに存在する場合、この例のように脆弱性の前提条件の実現を別の脆弱性の悪用でカバーしてしまうというようなことが成り立ってしまう場合があります。

やはり脆弱性対策は可能な範囲で短い間隔で継続していくことが重要といえそうです。

参考記事（外部リンク）：Mass Exploitation of (Un)authenticated Zimbra RCE:
CVE-2022-27925
www.volexity.com/blog/2022/08/10/mass-exploitation-of-unauthenticated-zimbra-rce-cve-2022-27925/