Ribuan Server Zimbra Dieksploitasi Hacker

Image credit: Freepix

Ribuan Server Zimbra Dieksploitasi Hacker – Lebih dari 10.000 instansi Zimbra Collaboration Suite (ZCS) yang terhubung ke internet saat ini berada dalam posisi sangat rentan terhadap serangan aktif.

Para aktor ancaman mengeksploitasi celah keamanan cross-site scripting (XSS) yang memungkinkan mereka menyusup ke dalam sesi pengguna dan mencuri informasi sensitif secara senyap.

Zimbra merupakan platform kolaborasi dan email yang sangat populer, digunakan oleh ratusan juta orang di seluruh dunia, termasuk ribuan perusahaan dan ratusan instansi pemerintah.

Kerentanan yang diidentifikasi sebagai CVE-2025-48700 ini memengaruhi ZCS versi 8.8.15, 9.0, 10.0, dan 10.1. Celah ini sangat berbahaya karena penyerang tidak memerlukan interaksi pengguna sama sekali untuk memicu serangan.

Baca juga: Memanfaatkan AI Melawan Ancaman berbasis AI

Bahaya di Balik Tampilan HTML

Eksploitasi CVE-2025-48700 dapat terjadi hanya dengan meminta pengguna melihat pesan email yang telah dirancang khusus melalui antarmuka Zimbra Classic UI.

Begitu email dibuka, kode JavaScript berbahaya akan berjalan secara otomatis di dalam sesi pengguna tersebut.

Peneliti mencatat beberapa karakteristik dari pola serangan ini:

  • Serangan ini tidak memerlukan lampiran berbahaya atau tautan mencurigakan. Seluruh rantai serangan hidup di dalam badan HTML dari satu email saja.
  • Penyerang yang tidak terautentikasi dapat mengeksekusi perintah JavaScript arbitrer untuk mencuri kredensial atau isi email korban.
  • Data terbaru menunjukkan bahwa sebagian besar server yang belum ditambal berada di Asia (3.794 server) dan Eropa (3.793 server).

Mengingat tingkat risikonya yang tinggi, lembaga keamanan siber Amerika Serikat (CISA) telah memasukkan celah ini ke dalam daftar kerentanan yang diketahui telah dieksploitasi secara aktif (Known Exploited Vulnerabilities) dan memerintahkan lembaga pemerintah untuk mengamankan server mereka dalam waktu singkat.

Jejak Aktor Negara 

Sejarah menunjukkan bahwa kerentanan pada Zimbra selalu menjadi sasaran empuk bagi kelompok peretas tingkat tinggi (APT) yang didukung oleh negara.

Kelompok seperti APT28 (dikenal juga sebagai Fancy Bear) terpantau menggunakan metode serupa dalam kampanye “Operation GhostMail” untuk menargetkan entitas pemerintah dan infrastruktur kritis.

Selain itu, kelompok APT29 (Cozy Bear) yang terkait dengan intelijen luar negeri Rusia juga dilaporkan melakukan eksploitasi massal terhadap server Zimbra untuk mencuri kredensial akun email dalam skala besar.

Penggunaan eksploitasi XSS yang dipantulkan (reflected XSS) juga pernah digunakan oleh kelompok Winter Vivern untuk membobol portal webmail organisasi yang berafiliasi dengan NATO, termasuk personel militer dan diplomat.

Pola serangan yang berulang ini menunjukkan bahwa Zimbra tetap menjadi salah satu permukaan serangan paling bernilai bagi spionase siber karena peran sentralnya dalam komunikasi organisasi.

Baca juga: Kartel Hacker dan Kerugian Miliaran Rupiah

Pengamanan dan Mitigasi Server

Melihat agresivitas serangan yang sedang berlangsung, sangat krusial bagi administrator sistem untuk segera melakukan langkah-langkah berikut:

  1. Segera Terapkan Tambalan Keamanan: Pastikan server ZCS Anda telah diperbarui ke versi yang dirilis setelah Juni 2025. Periksa situs resmi vendor untuk memastikan versi Anda sudah terlindungi dari CVE-2025-48700.
  2. Audit Log Webmail: Pantau log server untuk aktivitas mencurigakan yang terkait dengan akses sesi pengguna yang tidak wajar, terutama yang berasal dari alamat IP asing.
  3. Nonaktifkan Antarmuka Klasik Jika Memungkinkan: Karena eksploitasi ini secara spesifik menargetkan Classic UI, pertimbangkan untuk bermigrasi ke antarmuka modern yang lebih aman atau membatasi akses ke antarmuka lama.
  4. Edukasi Pengguna: Meskipun serangan ini minim interaksi, pengguna tetap harus waspada terhadap email yang memiliki tampilan tata letak (layout) yang tidak wajar atau berasal dari sumber yang tidak dikenal.
  5. Gunakan Proteksi Berlapis: Solusi keamanan dari ESET dapat memberikan lapisan pertahanan tambahan dengan mendeteksi muatan JavaScript tersembunyi dan memblokir upaya komunikasi ke server kontrol peretas (C2 server) saat eksekusi terjadi di memori browser.

Di Tengah Phising Tanpa Lampiran

Tahun 2026 menjadi pembuktian bahwa ancaman siber tidak selalu membutuhkan file berbahaya yang diunduh pengguna. Serangan “GhostMail” pada Zimbra menunjukkan betapa rapuhnya sistem komunikasi jika celah pada kode HTML dibiarkan terbuka.

Kewaspadaan digital saat ini menuntut pembaruan perangkat lunak secara proaktif sebelum aktor ancaman negara menjadikan infrastruktur Anda sebagai target pemerasan atau pencurian data berikutnya.

Memastikan setiap server email tetap menggunakan versi terbaru bukan lagi sekadar opsi administratif, melainkan fondasi utama dalam menjaga kedaulatan informasi organisasi.

 

 

Baca artikel lainnya: 

 

 

Sumber berita:

 

Prosperita IT News

Tags:

Related News

PackageKit Pengguna Lokal Bisa Jadi Root

PackageKit Pengguna Lokal Bisa Jadi Root

April 28, 2026 0
Ilusi Aman Benih Kekacauan Digital

Ilusi Aman Benih Kekacauan Digital

April 28, 2026 0

You may have missed

Manfaatkan 73 Ekstensi Tidur GlassWorm Mengamuk

Manfaatkan 73 Ekstensi Tidur GlassWorm Mengamuk

April 29, 2026 0
Ribuan Server Zimbra Dieksploitasi Hacker

Ribuan Server Zimbra Dieksploitasi Hacker

April 29, 2026 0
Kocak! Robinhood Main Phising

Kocak! Robinhood Main Phising

April 29, 2026 0
PackageKit Pengguna Lokal Bisa Jadi Root

PackageKit Pengguna Lokal Bisa Jadi Root

April 28, 2026 0
Jebakan SMS di Balik CAPTCHA

Jebakan SMS di Balik CAPTCHA

April 28, 2026 0
Ilusi Aman Benih Kekacauan Digital

Ilusi Aman Benih Kekacauan Digital

April 28, 2026 0