CISA Desak Instansi Pemerintah Segera Tambal Celah Kritis XSS pada Zimbra
Badan Keamanan Siber dan Infrastruktur AS (CISA) secara resmi menginstruksikan seluruh instansi pemerintah untuk segera mengamankan server mereka. Instruksi darurat ini dikeluarkan menyusul temuan kerentanan keamanan yang tengah dieksploitasi secara aktif pada Zimbra Collaboration Suite (ZCS).
Sebagai informasi, Zimbra merupakan platform email dan kolaborasi populer yang diandalkan oleh ratusan juta pengguna global, mencakup ribuan entitas bisnis hingga ratusan instansi pemerintahan.
Mekanisme Eksploitasi Kerentanan XSS
Celah keamanan tingkat keparahan tinggi ini dilacak dengan kode CVE-2025-66376 dan telah mendapatkan pembaruan penambalan (patch) pada awal November lalu. Kerentanan ini berakar dari kelemahan stored cross-site scripting (XSS) pada antarmuka Classic UI. Pelaku ancaman yang tidak diautentikasi dapat mengeksploitasi celah ini dari jarak jauh dengan menyalahgunakan arahan Cascading Style Sheets (CSS) @import yang disematkan di dalam kode HTML email.
Meskipun pihak pengembang belum merilis rincian pasti mengenai dampak spesifik peretasan, kerentanan ini sangat berpotensi disalahgunakan untuk mengeksekusi instruksi JavaScript secara sewenang-wenang melalui email HTML berbahaya. Eksekusi ilegal ini memungkinkan peretas untuk membajak sesi pengguna dan mencuri data sensitif langsung dari dalam lingkungan Zimbra yang telah dikompromikan.
Tenggat Waktu Ketat dari CISA
Menindaklanjuti ancaman tersebut, CISA telah memasukkan kerentanan ini ke dalam katalog kerentanan yang dieksploitasi secara liar (exploited in the wild). Berdasarkan mandat Binding Operational Directive (BOD) 22-01, lembaga di bawah Federal Civilian Executive Branch (FCEB) diberikan tenggat waktu ketat hingga 1 April mendatang untuk mengamankan seluruh server mereka.
Meskipun arahan ini secara spesifik menargetkan instansi federal, badan keamanan siber tersebut juga sangat mendesak organisasi di sektor swasta untuk segera menerapkan mitigasi serupa. Langkah penanganan yang diwajibkan mencakup penerapan instruksi penambalan dari vendor, atau menghentikan penggunaan produk sepenuhnya jika solusi keamanan belum dapat diimplementasikan, mengingat kerentanan semacam ini sering menjadi vektor serangan utama bagi peretas siber.
Rekam Jejak Serangan pada Server Zimbra
Insiden ini bukanlah kali pertama server Zimbra menjadi target operasi siber tingkat tinggi. Dalam beberapa tahun terakhir, berbagai kerentanan keamanan pada platform ini kerap dieksploitasi untuk menembus ribuan server email yang rentan di seluruh dunia.
Jejak serangan masif tercatat sejak pertengahan 2022, di mana bug auth-bypass dan remote code execution (RCE) disalahgunakan untuk meretas lebih dari 1.000 server. Pola ini berlanjut pada akhir 2022 ketika peretas mengeksploitasi kerentanan zero-day untuk mengompromikan hampir 900 server hanya dalam waktu dua bulan.
Bahkan, kelompok peretas yang disponsori oleh negara seperti Winter Vivern diketahui pernah memanfaatkan eksploitasi reflected XSS untuk membobol portal webmail milik pemerintahan yang berafiliasi dengan NATO serta para diplomat. Pada ancaman yang lebih baru, celah XSS Zimbra lainnya (CVE-2025-27915) juga dilaporkan telah dieksploitasi sebagai zero-day guna memasang filter email yang secara diam-diam mengalihkan pesan masuk ke server milik peretas.
