Krjogja.com - HAMPIR 900 server kena retas dengan menggunakan kerentanan kritis Zimbra Collaboration Suite (ZCS), yang pada saat itu adalah zero-day tanpa patch (tambalan celah keamanan) selama hampir 1,5 bulan.
Zimbra adalah perangkat lunak open source yang digunakan untuk email dan groupware. Sementara zero day merupakan serangan siber yang dilakukan kelompok hacker dengan cara memanfaatkan celah atau lubang keamanan pada sebuah website.
Kerentanan yang dilacak sebagai CVE-2022-41352 tersebut yaitu kelemahan eksekusi kode jarak jauh yang memungkinkan penyerang mengirim email dengan lampiran arsip berbahaya yang menanam web shell di server ZCS, pada saat yang sama, bisa melewati pemeriksaan antivirus.
Menurut perusahaan keamanan siber Kaspersky, berbagai kelompok APT (advanced persistent threat/ ancaman persisten lanjutan) secara aktif mengeksploitasi kelemahan tersebut segera setelah dilaporkan di forum Zimbra.
Kaspersky mengatakan kepada Bleeping Computer, dikutip Senin (17/10/2022), bahwa mereka mendeteksi setidaknya 876 server yang disusupi oleh hacker canggih yang memanfaatkan kerentanan sebelum dipublikasikan secara luas dan menerima pengenal CVE.
Pekan lalu, laporan Rapid7 memperingatkan tentang eksploitasi aktif CVE-2022-41352 dan mendesak admin untuk menerapkan solusi yang tersedia karena pembaruan keamanan tidak ada saat itu.
Pada hari yang sama, bukti konsep (proof of concept/PoC) ditambahkan ke kerangka Metasploit, memungkinkan peretas 'kelas teri' untuk meluncurkan serangan efektif terhadap server yang rentan.
Zimbra telah merilis perbaikan keamanan dengan ZCS versi 9.0.0 P27, mengganti komponen rentan (cpio) dengan Pax dan menghapus bagian lemah yang memungkinkan eksploitasi.
Dalam percakapan pribadi dengan perusahaan keamanan siber Kaspersky, Bleeping Computer diberitahu bahwa APT tak dikenal yang memanfaatkan kelemahan kritis kemungkinan telah menyatukan eksploitasi berdasarkan informasi yang diposting ke forum Zimbra.
Serangan pertama dimulai pada September 2022, menargetkan server Zimbra yang rentan di India dan beberapa di Turki. Gelombang serangan awal ini kemungkinan merupakan pengujian terhadap target untuk mengevaluasi keefektifan serangan.
Namun, Kaspersky menilai bahwa pelaku serangan telah menyusupi 44 server selama gelombang awal ini.
Segera setelah kerentanan mencuat, sang hacker beralih dan mulai melakukan penargetan massal, berharap untuk menyusupi sebanyak mungkin server di seluruh dunia sebelum admin menambal sistem dan menutup pintu bagi penyusup.
Gelombang kedua ini memiliki dampak yang lebih besar, menginfeksi 832 server dengan webshell berbahaya, meskipun serangan ini lebih acak daripada serangan sebelumnya.
Admin ZCS yang belum menerapkan pembaruan keamanan Zimbra yang tersedia harus segera melakukannya, karena aktivitas eksploitasi sedang berlangsung dan kemungkinan tidak akan berhenti dalam beberapa waktu ke depan.(*)