Peretas Mengeksploitasi Kerentanan Zero-Day di Platform Email Zimbra
Pada dasarnya tidak ada satupun system yang ada didunia ini aman 100%. Setiap keunggulan pada satu produk teknologi, sudah pasti challenger-nya akan muncul walau mungkin tidak secara bersamaan. Jika kita mau menyikapi secara positif, hal tersebut merupakan warning sekaligus sebuah langkah dimulainya sebuah upaya agar system yang kita gunakan dapat menjadi lebih baik lagi.
Pada kasus yang akan kita bahas ini, pelaku ancaman kemungkinan besar berasal dari China, yang secara aktif terus mencoba mengeksploitasi kerentanan zero-day di platform email open-source Zimbra sebagai bagian dari kampanye spear-phishing yang dimulai pada Desember 2021.
Operasi spionase ini – dengan nama kode “EmailThief” – yang dirinci oleh perusahaan keamanan siber Volexity dalam laporan teknis yang diterbitkan beberapa waktu lalu, mencatat bahwa eksploitasi yang berhasil dari kerentanan skrip lintas situs (XSS) dapat mengakibatkan eksekusi kode JavaScript secara sewenang-wenang dalam konteks sesi Zimbra pengguna.
Volexity mengaitkan penyusupan, yang dimulai pada 14 Desember 2021, dengan kelompok peretasan yang sebelumnya tidak terdokumentasi yang dilacaknya di bawah moniker TEMP_HERETIC, dengan serangan yang ditujukan kepada pemerintah Eropa dan entitas media. Bug zero-day berdampak pada edisi open-source terbaru Zimbra yang menjalankan versi 8.8.15.
Serangan-serangan itu diyakini terjadi dalam dua fase; tahap pertama ditujukan untuk pengintaian dan mendistribusikan email yang dirancang untuk mengawasi jika target menerima dan membuka pesan. Pada tahap selanjutnya, beberapa gelombang pesan email disiarkan untuk mengelabui penerima agar mengklik tautan berbahaya.
Secara total, ada 74 alamat email unik outlook.com dibuat oleh penyerang untuk mengirimkan surat selama dua minggu, di antaranya pesan pengintaian awal berisi baris subjek umum mulai dari undangan hingga lelang amal hingga pengembalian uang untuk tiket pesawat.
Agar serangan berhasil, target harus mengunjungi tautan penyerang saat masuk ke klien webmail Zimbra melalui browser web. Tautan itu sendiri, bagaimanapun, dapat diluncurkan dari aplikasi untuk menyertakan klien tebal, seperti Thunderbird atau Outlook.
Cacat yang belum ditambal, jika dipersenjatai, dapat disalahgunakan untuk mengekstrak cookie untuk memungkinkan akses terus-menerus ke kotak surat, mengirim pesan phishing dari akun email yang disusupi untuk memperluas infeksi, dan bahkan memfasilitasi pengunduhan malware tambahan.
Tidak ada infrastruktur yang diidentifikasi sama persis dengan infrastruktur yang digunakan oleh kelompok ancaman yang diklasifikasikan sebelumnya. Namun, berdasarkan organisasi yang ditargetkan dan individu tertentu dari organisasi yang ditargetkan, dan mengingat data yang dicuri tidak akan memiliki nilai finansial, kemungkinan serangan itu dilakukan oleh Peretas dari China.
Pengguna Zimbra harus mempertimbangkan untuk meningkatkan ke versi 9.0.0, karena saat ini tidak ada versi aman dari 8.8.15 mengingat kejadian tersebut.
Terkait dengan informasi diatas, berikut Ini adalah pembaruan yang dapat anda lakukan :
Eksploitasi Zero-day baru telah diidentifikasi yang memengaruhi Zimbra 8.8.15. Zimbra 8.8.15p30 telah diperbarui dan sekarang tersedia. Masalah kritis ini mempengaruhi semua versi Zimbra 8.8.15, dan Anda sangat dianjurkan untuk memperbarui ke patch terbaru. Lihat catatan rilis untuk petunjuk tentang cara menginstal tambalan.
Untuk mengonfirmasi bahwa perbaikan telah diinstal, Anda dapat memeriksa versi paket “zimbra-patch” yang diinstal pada server Anda.
(Dari berbagai sumber)
——–