Image credit: Freepix
Pernahkah Anda menerima undangan rapat atau acara dalam bentuk file .ICS (iCalendar)? File teks biasa ini, yang berisi detail jadwal, telah menjadi senjata baru dalam serangan siber tingkat tinggi.
Peneliti keamanan baru-baru ini mengungkap bahwa kerentanan zero-day (kerentanan yang belum diketahui dan belum ditambal oleh pengembang) pada platform email populer Zimbra Collaboration Suite (ZCS) telah dieksploitasi di awal tahun.
Serangan ini sangat berbahaya karena menggunakan lampiran kalender yang tampaknya tidak berbahaya untuk secara diam-diam membajak sesi webmail korban dan mencuri data sensitif.
Dari Kalender Kosong hingga Pencurian Data
Serangan ini berpusat pada kerentanan yang diberi kode CVE-2025-27915, yaitu celah jenis Cross-Site Scripting (XSS) Tersimpan (Stored XSS) pada Zimbra ZCS versi 9.0, 10.0, dan 10.1.
1. Sanitasi yang Buruk pada File ICS
Kerentanan ini muncul karena Zimbra tidak memadai dalam membersihkan (sanitasi) konten HTML di dalam file ICS.
Pada dasarnya, file ICS seharusnya hanya berisi data teks dan jadwal. Namun, karena sanitasi yang lemah, penyerang dapat menyuntikkan kode berbahaya (yaitu JavaScript) ke dalam file ICS.
Ketika pengguna membuka email yang berisi lampiran ICS jahat ini di webmail Zimbra mereka, kode JavaScript akan dieksekusi secara otomatis di dalam sesi browser korban.
|
Baca juga: Gawat! Autentikasi Tahan Phising Bobol |
2. Aksi Eksploitasi
Peneliti menemukan bahwa serangan ini sudah dimulai sejak awal Januari, bahkan sebelum Zimbra merilis patch (perbaikan).
- Pelaku ancaman (threat actor) mengirimkan email phising yang menyamar sebagai Kantor Protokol Angkatan Laut Libya.
- Sasaran serangan ini adalah organisasi militer Brasil.
- Email tersebut membawa file ICS yang berukuran lebih besar dari biasanya (sekitar 10KB) dan di dalamnya tersembunyi kode JavaScript yang disamarkan menggunakan skema encoding Base64.
Apa yang Dilakukan oleh Skrip Jahat?
Setelah dieksekusi di browser korban, kode JavaScript bertindak sebagai mata-mata yang sangat canggih dan agresif. Skrip ini dirancang untuk mencuri informasi dari Zimbra Webmail korban, seperti kredensial, email, kontak, dan folder bersama (shared folders).
Berikut adalah daftar kemampuan mengerikan dari payload tersebut:
|
Aksi Pencurian Data |
Aksi Manipulasi & Persistensi |
Aksi Pengawasan |
|
Mencuri kredensial (username/password) dari formulir login Menggunakan Zimbra SOAP API untuk mencari folder dan mengambil konten email.
|
Membuat kolom login tersembunyi untuk menangkap kredensial. Menambahkan filter otomatis bernama “Correo” untuk meneruskan email masuk ke alamat Proton yang dikuasai penyerang. Menyembunyikan elemen User Interface (UI) Zimbra untuk mengurangi petunjuk visual serangan.
|
Memantau aktivitas pengguna (mouse dan keyboard). Menetapkan jeda eksekusi (60 detik) dan batasan 3 hari (hanya berjalan lagi setelah 3 hari) untuk menghindari deteksi. Mencatat artefak autentikasi/backup (kode cadangan, perangkat tepercaya, password khusus aplikasi) dan mengeksfiltrasi semuanya. |
Siapa di Balik Serangan Ini?
Peneliti tidak dapat mengaitkan serangan ini dengan yakin pada satu kelompok tertentu, namun mencatat bahwa taktik, teknik, dan prosedur (TTPs) yang serupa pernah diamati pada serangan yang diatribusikan ke UNC1151.
UNC1151, juga dikenal sebagai Ghostwriter, adalah kelompok ancaman yang diyakini terkait dengan Pemerintah Belarusia, kelompok ini terkenal karena aktivitas spionase siber.
Terutama menargetkan organisasi militer dan pemerintah di Eropa Timur, dan sering menggunakan phising canggih untuk menyebarkan disinformasi atau mencuri kredensial.
|
Baca juga: Evolusi EDR Killer Baru Mengancam Keamanan Sistem |
Yang Harus Dilakukan
Insiden zero-day Zimbra ini menjadi peringatan keras, terutama bagi organisasi yang mengandalkan platform webmail untuk komunikasi internal dan eksternal.
- Segera Patch: Jika Anda menggunakan Zimbra Collaboration Suite, pastikan sistem Anda telah ditingkatkan ke versi ZCS 9.0.0 P44, 10.0.13, atau 10.1.5 (yang dirilis pada 27 Januari), atau versi yang lebih baru.
- Waspada Terhadap Lampiran: Selalu waspada terhadap file lampiran yang tidak terduga, bahkan jika itu hanya file kalender. Lapisan perlindungan tambahan diperlukan untuk memindai konten non-eksekusi (seperti file ICS) dari kode berbahaya.
- Tingkatkan Keamanan XSS: Bagi pengembang dan administrator, insiden ini mengingatkan kembali pentingnya sanitasi input yang ketat pada semua data yang diunggah pengguna, bahkan pada file yang dianggap aman seperti ICS. Semua input harus diperlakukan sebagai tidak tepercaya.
- Mewaspadai Phising: Serangan ini dimulai dengan email phising yang menipu. Selalu verifikasi pengirim, terutama yang mengaku dari otoritas atau entitas sensitif, sebelum berinteraksi dengan lampiran.
Pengeksploitasian zero-day ini menunjukkan bahwa pelaku ancaman terus mencari jalan yang tidak terduga, bahkan melalui file kalender sederhana, untuk mendapatkan akses ke data sensitif. Pertahanan siber harus terus berevolusi lebih cepat dari kreativitas para peretas.
Sumber berita:
