Lebih dari 10.000 Server Zimbra Rentan Terhadap Eksploitasi XSS Aktif
Lebih dari 10.000 instans Zimbra Collaboration Suite (ZCS) yang terekspos secara online saat ini rentan terhadap serangan yang mengeksploitasi celah keamanan cross-site scripting (XSS). Peringatan serius ini dikeluarkan oleh organisasi keamanan nirlaba, Shadowserver, menyusul bukti adanya eksploitasi yang sedang berlangsung.
Zimbra sendiri merupakan perangkat lunak email dan platform kolaborasi populer yang digunakan oleh ratusan juta orang di seluruh dunia, tidak terkecuali ratusan lembaga pemerintah dan ribuan perusahaan dari berbagai sektor.
Kerentanan yang dilacak sebagai CVE-2025-48700 ini memengaruhi ZCS versi 8.8.15, 9.0, 10.0, dan 10.1. Celah ini berpotensi fatal karena memungkinkan penyerang yang tidak terautentikasi untuk mengakses informasi sensitif setelah berhasil mengeksekusi JavaScript arbitrer di dalam sesi pengguna.
Ancaman Tanpa Interaksi (Zero-Click) pada UI Klasik
Pengembang Zimbra, Synacor, sebenarnya telah merilis tambalan keamanan untuk mengatasi celah ini pada bulan Juni 2025. Saat itu, mereka memberikan peringatan tegas bahwa eksploitasi CVE-2025-48700 tidak memerlukan interaksi pengguna sama sekali.
Serangan ini dapat langsung terpicu secara otomatis hanya dengan pengguna melihat atau membuka pesan email berbahaya yang telah dirancang khusus di antarmuka UI Klasik Zimbra.
Pada hari Jumat pekan lalu, pengawas keamanan internet Shadowserver memperingatkan bahwa lebih dari 10.500 server Zimbra yang terekspos online di seluruh dunia masih berstatus belum ditambal (unpatched). Sebagian besar server rentan tersebut berlokasi di wilayah Asia (3.794 server) dan Eropa (3.793 server).
CISA Keluarkan Perintah Darurat
Menyusul eskalasi ancaman ini, Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Senin resmi menandai CVE-2025-48700 sebagai kerentanan yang disalahgunakan secara liar (in the wild). Mereka langsung memasukkannya ke dalam Katalog Kerentanan yang Diketahui Dieksploitasi (KEV).
Lebih lanjut, badan keamanan siber AS tersebut mengeluarkan perintah tegas kepada seluruh lembaga Cabang Eksekutif Sipil Federal (FCEB) AS untuk segera mengamankan dan menambal server Zimbra mereka dalam tenggat waktu tiga hari, paling lambat tanggal 23 April.
Sejarah Kelam Zimbra dan Sindikat Peretas Negara
Meskipun CISA belum membagikan rincian teknis spesifik mengenai kampanye serangan CVE-2025-48700, sejarah membuktikan bahwa server email Zimbra kerap menjadi sasaran empuk bagi kelompok peretas tingkat tinggi (Advanced Persistent Threat/APT).
Sebagai contoh, kerentanan XSS Zimbra lainnya (CVE-2025-66376) yang baru ditambal pada awal November lalu, telah dieksploitasi oleh peretas militer APT28 (alias Fancy Bear atau Strontium) yang didukung oleh negara Rusia. Mereka melancarkan serangan phishing yang menargetkan entitas pemerintah Ukraina sejak bulan Januari.
Kampanye phishing yang diberi nama sandi Operation GhostMail oleh peneliti Seqrite Labs ini menargetkan lembaga infrastruktur kritis seperti Badan Hidrologi Negara Ukraina. Serangan ini mengirimkan muatan JavaScript yang diofuskasi saat penerima membuka email di sesi webmail Zimbra yang rentan.
“Email phishing tidak memiliki lampiran berbahaya, tidak ada tautan yang mencurigakan, tidak ada makro. Seluruh rantai serangan bersembunyi di dalam tubuh HTML dari satu email,” ungkap Seqrite Labs saat mengurai kecanggihan serangan tersebut.
Selain APT28, kelompok spionase siber Rusia Winter Vivern juga pernah menggunakan eksploitasi XSS reflektif untuk membobol portal webmail Zimbra pada Februari 2023 guna mencuri komunikasi dari pejabat militer dan diplomat NATO. Pada Oktober 2024, giliran APT29 (Cozy Bear) yang menargetkan server Zimbra yang rentan dalam “skala massal” untuk memanen kredensial akun email.
