Peneliti Temukan Zero-day Zimbra. Hampir 900 Server telah Diserang
Zimbra
Cyberthreat.id – Zimbra Collaboration Suite, platform email dan web client, mendapatkan serangan besar-besaran. Peretas memanfaatkan celah keamanan yang belum ditutup (zero-day) selama satu setengah bulan.
Perusahaan keamanan siber asal Rusia, Kaspersky, mencatat peretas telah menyerang 44 server selama gelombang awal pada September lalu.
Serangan awal itu menargetkan server Zimbra yang rentan di India dan Turki. Peretas diperkirakan hanya mengetes apakah serangan itu efektif atau tidak.
Kaspersky juga menilai tampaknya peretas tingkat tinggi (APT) mulai ikut mengeksploitasi setelah informasi kerentanan itu muncul di forum Zimbra.
Dalam amatan gelombang kedua, Kaspersky mencatat serangan mulai bertambah besar, sedikitnya menginfeksi 832 server dengan web shell berbahaya. “Serangan ini sifatnya lebih acak dibandingkan sebelumnya,” tutur Kaspersky dikutip dari BleepingComputer, Sabtu (15 Oktober 2022).
Kerentanan
Kerentanan yang ditemukan tersebut oleh peneliti ditandai sebagai CVE-2022-41352. Celah ini memungkinkan eksekusi kode jarak jauh. Modus serangan ini, peretas mengirim email dengan lampiran berbahaya yang akan dipakai sebagai webs hell di server Zimbra. Bahkan, malware yang dilampirkan itu mampu menghindari pemeriksaan antivirus.
Pekan lalu, laporan perusahaan keamanan siber Rapid7 juga memperingatkan kerentanan serupa yang aktif dieksploitasi. Mereka menyarankan agar admin TI perusahaan atau organisasi yang memakai Zimbra segera mencegah serangan.
Setelah muncul kabar eksploitasi itu, Zimbra merilis perbaikan dengan Zimbra Collaboration Suite versi 9.0.0 P27. Versi ini mengganti komponen rentan dan menghapus bagian yang dieksploitasi.
Sayangnya, perbaikan itu muncul setelah gelombang serangan besar telah berjalan lebih dulu.
Bahkan, perusahaan keamanan siber Volexity juga mengidentifikasi sekitar 1.600 server Zimbra telah disusupi oleh peretas dan menanam web shell.
Pengguna yang belum menginstal pembaruan Zimbra disarankan untuk segera melakukan pembaruan. Aktivitas serangan kemungkinan masih akan terus berlanjut.[]
