Serangan Eksploitasi Zimbra: Ancaman Serius Bagi Sistem Email

Para peneliti di bidang keamanan siber baru-baru ini memberikan peringatan terkait aktivitas eksploitasi yang menargetkan kelemahan serius dalam Zimbra Collaboration, sebuah platform milik Synacor yang sering digunakan untuk kolaborasi dan pengelolaan email oleh berbagai organisasi.

Aktivitas eksploitasi ini diidentifikasi segera setelah celah keamanan dengan kode CVE-2024-45519 ditemukan. Kelemahan tersebut memungkinkan penyerang yang tidak memiliki otentikasi untuk mengeksekusi perintah secara sewenang-wenang pada instalasi Zimbra yang rentan, membuka peluang bagi mereka untuk mendapatkan akses tanpa izin ke sistem yang digunakan oleh organisasi.

Perusahaan keamanan siber, Proofpoint, yang berperan aktif dalam memantau serangan siber, pertama kali mengamati upaya eksploitasi ini pada 28 September 2024. Serangan ini mencoba mengeksploitasi celah CVE-2024-45519, yang berada dalam fitur postjournal Zimbra. Dengan mengeksploitasi celah ini, penyerang dapat mengirimkan perintah berbahaya melalui server Zimbra tanpa harus melakukan otentikasi, yang merupakan ancaman serius bagi sistem yang belum diperbarui dengan patch keamanan terbaru.

Dalam serangkaian unggahan di platform media sosial X, Proofpoint menjelaskan bagaimana serangan ini bekerja. Salah satu teknik yang digunakan adalah memalsukan email dari Gmail, yang kemudian dikirimkan ke alamat palsu di bidang CC (Carbon Copy) dalam upaya untuk memaksa server Zimbra menjalankan perintah tersebut. Para peneliti menemukan bahwa serangan ini melibatkan string Base64, yang dieksekusi menggunakan utilitas sh, sebuah alat di sistem berbasis Unix.

Masalah serius ini sebenarnya sudah diatasi oleh Zimbra melalui serangkaian pembaruan yang dirilis pada 4 September 2024. Patch terbaru telah disediakan untuk versi 8.8.15 Patch 46, 9.0.0 Patch 41, 10.0.9, dan 10.1.1. Pembaruan ini disarankan untuk segera diterapkan oleh semua pengguna Zimbra agar sistem mereka terlindungi dari potensi serangan. Kelemahan tersebut pertama kali ditemukan dan dilaporkan oleh seorang peneliti keamanan bernama Alan Li, yang dikenal dengan nama alias lebr0nli. Dia mendapatkan penghargaan atas kontribusinya dalam menemukan celah yang berpotensi membahayakan banyak sistem ini.

Meski fitur postjournal bersifat opsional dan mungkin tidak aktif di semua instalasi Zimbra, penting bagi para administrator untuk tetap menerapkan patch yang disediakan. Ashish Kataria, seorang insinyur arsitek keamanan di Synacor, menegaskan pentingnya tindakan ini dalam sebuah pernyataan pada 19 September 2024. Dia menambahkan bahwa bagi mereka yang tidak mengaktifkan fitur postjournal dan belum bisa menginstal patch, solusi sementara adalah menghapus binary postjournal hingga patch tersebut dapat diterapkan. Langkah ini dianggap sebagai mitigasi sementara untuk mengurangi risiko serangan.

Proofpoint juga mengidentifikasi serangkaian alamat yang dikirimkan melalui bidang CC. Alamat-alamat ini diterjemahkan sebagai upaya untuk menanam web shell di server Zimbra yang rentan. Lokasi spesifik yang diserang adalah "/jetty/webapps/zimbraAdmin/public/jsp/zimbraConfig.jsp." Web shell tersebut kemudian digunakan untuk mendengarkan koneksi masuk dengan memanfaatkan Cookie JSESSIONID yang sudah ditentukan sebelumnya. Jika ditemukan cookie tersebut, web shell akan mengeksekusi perintah yang tertanam di dalam cookie JACTION.

Web shell yang berhasil diinstal tidak hanya mampu menjalankan perintah melalui utilitas exec, tetapi juga memiliki kemampuan untuk mengunduh dan mengeksekusi file melalui koneksi socket. Fitur-fitur ini menjadikan web shell sebagai alat yang berbahaya bagi penyerang yang ingin mendapatkan akses lebih dalam ke server Zimbra yang terinfeksi. Hingga saat ini, Proofpoint belum dapat mengaitkan serangan ini dengan aktor atau kelompok ancaman tertentu, tetapi serangan ini menunjukkan tingkat kematangan yang tinggi dalam eksekusinya.

Eksploitasi yang sedang berlangsung ini diperkirakan dimulai sehari setelah Project Discovery, sebuah proyek penelitian keamanan, merilis rincian teknis dari celah keamanan tersebut. Dalam penjelasannya, Project Discovery menyatakan bahwa kelemahan ini terjadi karena input pengguna yang tidak disanitasi disalurkan ke fungsi popen pada versi Zimbra yang belum di-patch. Hal ini memungkinkan penyerang untuk menyuntikkan perintah berbahaya.

Lebih lanjut, kelemahan ini ditemukan pada cara binary postjournal berbasis C menangani dan mem-parsing alamat email penerima melalui fungsi yang disebut “msg_handler().” Ketika pesan SMTP yang dirancang khusus dikirim ke server dengan alamat email palsu, server Zimbra yang rentan mencoba mengeksekusi perintah di dalamnya, yang akhirnya mengarah pada eksekusi perintah tanpa otentikasi.

Dengan adanya eksploitasi aktif yang sedang berlangsung, pengguna Zimbra sangat disarankan untuk segera menginstal patch terbaru guna melindungi sistem mereka dari potensi ancaman. Pembaruan keamanan ini penting untuk meminimalkan risiko serangan yang lebih luas, terutama karena serangan yang memanfaatkan kelemahan ini memiliki potensi untuk menyebar dengan cepat jika tidak segera diatasi.