Cyberthreat.id – Perusahaan keamanan asal AS, Volexity, menemukan zero-day alias kerentanan baru yang belum memiliki tambalan (patch) pada peranti lunak Zimbra.

Kerentanan tersebut berupa cross-site scripting (XSS) yang saat ini diduga secara aktif dieksploitasi dalam serangan yang terjadi di media masaa di Eropa dan lembaga pemerintah, tulis BleepingComputer, diakses Jumat (4 Februari 2022).

Zimbra dikenal sebagai peranti lunak email juga menyediakan layanan seperti pesan instan, kontak, konferensi video, berbagi file, dan penyimpanan cloud.

Pengguna platform tersebut saat ini lebih dari 200.000 perusahaan di lebih dari 40 negara, di antaranya 1.000 lembaga pemerintah.

Spear-phishing

Pada saat penulisan laporan tersebut, peneliti Volexity belum mendapati adanya tambalan yang disediakan oleh Zimbra. Kerentanan juga belum diberi label CVE, seperti pada umumnya kerentanan yang telah diungkapkan ke publik. Di sinilah, peneliti berkesimpulan bahwa masalah itu kategori zero-day.

‎Volexity mengonfirmasi dan telah menguji bahwa versi terbaru dari Zimbra 8.8.15 P29 & P30 mengalami kerentanan. Sementara versi 9.0.0 kemungkinan tidak terpengaruh.‎

‎Volexity mengatakan sejauh ini peneliti hanya mengamati satu aktor ancaman yang sebelumnya belum diketahui. Mereka menjulukinya “TEMP_Heretic”. Aktor ini mengeksploitasi kerentanan memakai serangan spear-phishing (yang ditargetkan khusus) untuk mencuri email.‎

‎Namun, peneliti mengatakan, eksploitasi zero-day, bisa pula mencakup hal lain, seperti ‎

• ‎mengeksfiltrasi cookie untuk memungkinkan akses persisten ke kotak surat‎
• ‎mengirim pesan phishing ke kontak pengguna‎
• ‎menampilkan prompt untuk mengunduh malware dari situs web tepercaya‎

‎Peneliti mengamati serangan dimulai pada Desember 2021. Penyerang mengirim email spear-phishing dengan tautan berbahaya dan berbagai tema (misalnya, permintaan wawancara, undangan ke lelang amal, dan salam liburan) antara 16 Desember dan Desember 2021.‎

‎"Setelah mengklik tautan berbahaya, infrastruktur penyerang akan mencoba mengalihkan ke halaman pada host webmail Zimbra milik organisasi yang ditargetkan, dengan format URI tertentu yang — jika pengguna masuk — mengeksploitasi kerentanan yang memungkinkan penyerang memuat JavaScript sewenang-wenang dalam konteks sesi login Zimbra," tutur para peneliti.‎

‎Kode berbahaya memungkinkan penyerang masuk di kotak surat korban dan eksfiltrasi isi email dan lampiran ke server yang dikendalikan penyerang.‎

" Volexity telah memberi tahu Zimbra tentang eksploitasi dan berharap patch akan segera tersedia," kata perusahaan itu.‎

‎Berdasarkan data BinaryEdge, sekitar 33.000 server menjalankan server email Zimbra.‎

‎Volexity merekomendasikan untuk mengambil langkah-langkah berikut untuk memblokir serangan yang mengeksploitasi zero-day ini:‎

• ‎Semua indikator anomali‎‎ harus diblokir di gateway email dan tingkat jaringan. Bisa cek di sini.‎
• ‎Pengguna Zimbra harus menganalisis data perujuk historis untuk akses dan perujuk yang mencurigakan. Lokasi default untuk log ini dapat ditemukan di /opt/zimbra/log/access*.log‎
• ‎Pengguna Zimbra harus mempertimbangkan untuk meningkatkan ke versi 9.0.0, karena saat ini tidak ada versi aman untuk 8.8.15.‎[]