[보안뉴스]美 CISA, “협업 플랫폼 짐브라 XSS 제로데이 취약점” 경고...이메일 열기만 해도 해킹

내용 요약

미국 사이버보안 및 인프라보안국(CISA)이 발표한 보안 경보에 따르면, 기업용 이메일 플랫폼 Zimbra Collaboration Suite (ZCS) 에서 CVE‑2025‑27915 라는 제로데이 크로스 사이트 스크립팅(XSS) 취약점이 확인되었습니다. 이 취약점은 사용자가 이메일을 열람만 해도 악성 스크립트가 실행되어 해킹 피해를 입게 만들며, 현재 악용 사례가 활발히 보고되고 있습니다.
 지금 바로 패치를 적용하고, ZCS 보안 설정을 점검하세요.

핵심 포인트

1. 제로데이 XSS (CVE‑2025‑27915) – ZCS의 메시지 뷰어에서 악성 스크립트가 자동 실행됩니다.
2. 이메일을 통한 악성 코드 전달 – 클릭 없이도 “보기만”으로도 피해가 발생합니다.
3. CISA와 즉각적 대응 – CISA는 취약점 정보를 즉시 공개하고, 패치 적용을 권고합니다.

기술 세부 내용

1️⃣ Zimbra Collaboration Suite (ZCS)

• 개요
  • 오픈소스 기반의 이메일, 캘린더, 파일 공유 등 협업 기능을 제공하는 서버·클라이언트 소프트웨어입니다.
  • 기업·기관에서 흔히 사용되며, webmail 인터페이스와 API를 통해 다양한 서비스와 연동됩니다.
• 아키텍처
  • Front‑End: Zimbra Web Client (ZWC), Outlook Web Access (OWA) 등.
  • Back‑End: Apache Tomcat, MariaDB/MySQL, Java 기반 서비스.
  • 보안 레이어: TLS/SSL, LDAP/Active Directory 인증, 사용자 기반 ACL.
• 보안 설정 팁
  1. 최신 버전 설치: 버그 및 취약점이 패치된 버전을 사용하세요.
  2. 콘텐츠 보안 정책 (CSP) 설정: script-src 'self' 등으로 외부 스크립트 실행 제한.
  3. XSS 필터링: X-Content-Type-Options: nosniff, X-XSS-Protection: 1; mode=block 헤더 적용.

---

2️⃣ Cross‑Site Scripting (XSS) – 제로데이 버전

• XSS 종류
  • Reflected XSS: 요청에 포함된 파라미터가 바로 반영되는 경우.
  • Stored XSS: 악성 코드가 데이터베이스에 저장되어 이후 사용자에게 제공되는 경우.
  • DOM‑Based XSS: 클라이언트 측 DOM 조작으로 발생.
• CVE‑2025‑27915
  • 공격 벡터: ZCS 메시지 뷰어(웹 UI)에서 HTML 엔티티 디코딩 과정에서 필터링이 누락됩니다.
  • 피해 경로
    1. 이메일 생성: 공격자는 <script> 태그를 포함한 악성 HTML을 이메일 본문에 삽입.
    2. 메일 수신: 사용자에게 전달된 이메일이 ZCS 웹 클라이언트에서 열리면, 자동 디코딩 단계에서 스크립트가 실행됩니다.
    3. 코드 실행: <script> 안에 있는 JavaScript가 사용자의 브라우저에서 실행되어 쿠키 탈취, 세션 하이재킹, 내부망 접근 등이 이루어집니다.
  • 제로데이: 공개 전 패치가 없으며, 공격자는 즉시 취약점을 악용할 수 있습니다.
• 실제 악용 사례
  • 2025년 6월 기준, 20여 개 기업이 이메일 확인만으로 랜섬웨어 설치, 데이터 유출 보고.
  • 공격자는 document.location.replace를 이용해 내부 관리 포털에 바로 로그인하거나, fetch로 내부 API를 호출해 비밀 정보를 수집합니다.

---

3️⃣ CVE‑2025‑27915 – 상세 분석

항목	내용
ID	CVE‑2025‑27915
취약점 유형	Stored XSS (Zero‑Day)
영향 범위	Zimbra Collaboration Suite 10.0.x, 9.5.x (내부 버전)
공격 성공률	100% (보안 설정이 기본값인 경우)
CISA 대응	- 보안 알림 공개 - 패치 권고 및 커뮤니티와 협력 - 모니터링 툴(IDS/IPS) 업데이트 권고

3.1 공격 절차 (Step‑by‑Step)

1. 악성 이메일 작성
   • <html><body><script>/* payload */</script></body></html>
   • 헤더는 Content-Type: text/html 으로 지정.
2. 수신자에게 전달
   • ZCS 서버가 MIME 파싱 시, <script> 태그를 그대로 저장.
3. 사용자 열람
   • ZCS 웹 클라이언트가 메시지를 렌더링하면서, HTML 엔티티 디코딩 단계에서 스크립트가 실행.
4. 스니핑/피싱
   • navigator.cookieEnabled를 통해 쿠키를 도난하거나, XMLHttpRequest로 내부 API 호출.
5. 피해 확대
   • 내부 네트워크에 대한 lateral movement, 파일 시스템 접근, RDP 세션 악용.

3.2 패치 및 방지 조치

• 패치 적용
  • ZCS 10.1.1, 9.5.10 (또는 이후 릴리스) 에 포함된 보안 업데이트를 즉시 설치.
• 입출력 검증
  • 서버 측에서 모든 HTML 컨텐츠를 서버 사이드 XSS 필터 (OWASP ESAPI 등) 로 검증.
• 브라우저 보안 헤더
  

  Content-Security-Policy: default-src 'self'; script-src 'self';
  X-Content-Type-Options: nosniff
  X-XSS-Protection: 1; mode=block
  

• 사용자 교육
  • “보기만”이 안전하다는 인식을 바로잡고, 의심스러운 이메일은 열람 전 스크린샷을 찍거나 내부 보안팀에 보고하도록 권장.
• 모니터링
  • IDS/IPS 로 <script> 태그를 포함한 이메일을 탐지하도록 룰을 추가.

---

4️⃣ CISA – 미국 사이버보안 및 인프라보안국

• 역할
  • 미국 정부 기관과 기업이 직면한 사이버 위협에 대한 정보 제공 및 대응 지원.
  • CVE 리스트를 관리하고, 중요한 취약점에 대한 경고를 발행.
• 이번 사례
  • CISA는 ZCS CVE‑2025‑27915 를 즉시 공표하고, 즉시 패치 적용 및 보안 모니터링을 권고했습니다.
  • 공급업체 협력: Zimbra 개발자와 긴밀히 협력해 패치를 조속히 배포.
• 보안 인식 강화
  • 공격 사례와 피해 사례를 상세히 제공해 조직 내부 보안 인식을 제고.
  • 보안 훈련 자료를 제공해 사용자가 이메일 스캔 및 안전한 열람 방법을 학습하도록 지원.

---

요약

• Zimbra Collaboration Suite 에서 CVE‑2025‑27915 라는 제로데이 XSS 취약점이 발견되었습니다.
• 이 취약점은 이메일 본문에 삽입된 <script> 태그가 사용자가 열람만으로 실행되어, 클릭 없이도 해킹이 발생합니다.
• CISA는 즉시 경고를 발행하고, 패치 적용과 보안 설정 강화, 사용자 교육을 권고했습니다.

즉시 조치
1. 최신 ZCS 패치(10.1.1 이상) 적용
2. CSP 및 X‑Content‑Type‑Options 헤더 활성화
3. 악성 이메일 탐지를 위한 IDS 룰 업데이트
4. 사용자의 의심 이메일 열람 방지 교육

️ 보안은 하나의 단계라도 놓치면 큰 피해로 이어질 수 있으니, 지금 바로 위 가이드를 따라 조치를 취해 주세요.

 

출처: http://www.boannews.com/media/view.asp?idx=139695&kind=&sub_kind=