Pada pertengahan 2022, perusahaan keamanan siber Volexity mengungkapkan temuan serius mengenai eksploitasi kerentanan zero-day yang bersifat Cross-Site Scripting (XSS) pada platform open-source email Zimbra. Kerentanan ini dimanfaatkan dalam sebuah kampanye spear-phishing yang diduga dilakukan oleh kelompok ancaman siber bernama TEMP_Heretic. Kelompok ini diketahui mengeksploitasi celah keamanan pada Zimbra versi 8.8.15 Patch 29 dan Patch 30 untuk melancarkan serangan yang sangat tertarget. Melalui celah XSS ini, pelaku dapat menyisipkan skrip berbahaya ke dalam antarmuka web Zimbra yang digunakan oleh korban, yang kemudian dijalankan secara otomatis saat pengguna membuka email atau halaman tertentu. Eksploitasi ini terjadi tanpa interaksi tambahan dari korban, sehingga meningkatkan tingkat keberhasilan serangan.
Volexity melaporkan bahwa melalui eksploitasi ini, penyerang dapat mengekstrak cookie sesi dari pengguna yang telah terautentikasi, memungkinkan pelaku untuk mempertahankan akses ke kotak surat secara persisten. Lebih dari itu, akun email yang telah dikompromi digunakan untuk mengirim email phishing lanjutan ke kontak yang ada, dengan tujuan memperluas cakupan infeksi di dalam jaringan korban. Dalam beberapa kasus, pelaku juga diketahui menyisipkan perintah unduhan dari situs-situs yang tampak sah, padahal sebenarnya situs tersebut telah dimodifikasi untuk menyebarkan malware. Pola serangan semacam ini sangat berbahaya karena menyalahgunakan kepercayaan pengguna terhadap komunikasi email yang dianggap internal atau berasal dari sumber terpercaya, padahal telah dimanipulasi oleh aktor jahat.
Eksploitasi XSS pada platform email bukan sekadar gangguan teknis, ia bisa menjadi jalur senyap untuk mencuri kredensial, menyusup ke jaringan, dan membangun pijakan jangka panjang.
Hingga artikel ini diterbitkan zimbra belum menerbitkan panduan perbaikan namun Volexity memberikan rekomendasi sebagaimana berikut:
- Melakukan pemblokiran Indicator of Compromise (IoC) pada e-mail gateway dan tingkat jaringan;
- Melakukan analisis data perujuk historis untuk akses dan perujuk yang mencurigakan pada lokasi log default adalah /opt/zimbra/log/access*.log; dan
- Melakukan pembaruan Zimbra ke versi 9.0.0.
Informasi lengkap mengenai Peringatan Keamanan Kerentanan Cross-Site Scripting pada Zimbra tersebut dapat diakses pada dokumen resmi yang tersedia.
Informasi lengkap mengenai Peringatan Keamanan Kerentanan Cross-Site Scripting pada Zimbra dapat diunduh di sini.
Biro Hukum dan Komunikasi Publik BSSN
