Para peneliti mengungkap serangan zero-day yang memanfaatkan kerentanan pada Zimbra Collaboration Suite (ZCS) melalui berkas kalender .ICS (iCalendar). Celah yang dilacak sebagai CVE-2025-27915 ini menyerang ZCS 9.0, 10.0, dan 10.1 dengan menyisipkan JavaScript berbahaya ke dalam konten HTML berkas ICS, sehingga kode dapat dieksekusi di sesi pengguna (XSS) untuk, antara lain, menyetel filter yang mengalihkan email korban ke penyerang.
Kronologi & Vektor Serangan
Serangan terdeteksi dari pemantauan ICS berukuran tak lazim (≥10 KB) yang berisi skrip terenkode Base64. Menurut analisis, kampanye dimulai awal Januari 2025, sebelum tambalan resmi dirilis. Pelaku memalsukan identitas Kantor Protokol Angkatan Laut Libya untuk mengirim undangan kalender berbahaya yang menargetkan sebuah organisasi militer di Brasil.
Zimbra merilis perbaikan pada 27 Januari 2025 melalui ZCS 9.0.0 P44, 10.0.13, dan 10.1.5. Meski begitu, indikasi eksploitasi aktif baru dipublikasikan oleh pihak peneliti setelahnya.
Apa yang Dilakukan Payload
Payload JavaScript dirancang mencuri data dari Zimbra Webmail dan mempertahankan persistensi halus. Di antara kemampuan yang dipetakan peneliti:
- Membuat kolom tersembunyi username/kata sandi dan mencuri kredensial dari formulir login.
- Memantau aktivitas pengguna, memicu logout paksa saat tidak aktif untuk mencuri sesi.
- Menggunakan Zimbra SOAP API untuk menelusuri folder dan mengambil email, lalu mengirim konten ke server penyerang (berulang tiap ±4 jam).
- Menambahkan filter bernama “Correo” guna meneruskan surat masuk ke alamat Proton pelaku.
- Mengekstrak kontak, distribution list, dan folder berbagi, serta artefak autentikasi/cadangan.
- Menyembunyikan elemen UI demi meminimalkan jejak visual, menambahkan delay 60 detik sebelum eksekusi, serta gerbang eksekusi 3 hari agar tetap rendah profil.
Atribusi & Pola Taktik
Atribusi pasti belum dapat dipastikan. Peneliti menyoroti bahwa hanya segelintir aktor yang mampu menemukan zero-day di produk populer; beberapa taktik menyerupai TTP kampanye yang sebelumnya dikaitkan dengan UNC1151.
Implikasi & Rekomendasi Teknis
Eksploitasi kalender lintas aplikasi menjadikan .ICS—yang lazim dipercaya—sebagai vektor masuk yang efektif. Organisasi yang mengandalkan Zimbra disarankan:
- Patch segera ke ZCS 9.0.0 P44 / 10.0.13 / 10.1.5 atau yang lebih baru.
- Audit log Zimbra/SOAP untuk pencarian massal, unduhan besar, atau filter baru (mis. “Correo”).
- Telusuri filter/forwarder pasca-insiden dan cabut sesi aktif yang mencurigakan.
- Karantina/inspeksi ICS: blok atau tandai ICS >10 KB, deteksi Base64/skrip di konten ICS.
- Aktifkan CSP & hardening di antarmuka webmail, minimalkan injeksi konten HTML dari lampiran kalender.
- Terapkan pemantauan perilaku untuk anomali SOAP/API dan kirim IOC dari laporan penelitian ke sistem deteksi.
Eksploitasi berbasis kalender mengaburkan garis antara produktivitas dan risiko, sehingga kontrol konten-aware pada jalur email/kalender kini menjadi sama pentingnya dengan patch rutin.
Sumber: BleepingComputer