Lebih dari 10.000 instance Zimbra Collaboration Suite (ZCS) yang terekspos secara online rentan terhadap serangan berkelanjutan yang mengeksploitasi kelemahan keamanan cross-site scripting (XSS), menurut organisasi keamanan nirlaba Shadowserver.
Zimbra adalah rangkaian perangkat lunak email dan kolaborasi populer yang digunakan oleh ratusan juta orang di seluruh dunia, termasuk ratusan lembaga pemerintah dan ribuan bisnis.
Kerentanan (dilacak sebagai CVE-2025-48700) mempengaruhi ZCS 8.8.15, 9.0, 10.0, dan 10.1 dan dapat memungkinkan penyerang yang tidak diautentikasi mengakses informasi sensitif setelah mengeksekusi JavaScript sewenang-wenang dalam sesi pengguna.
sinakor merilis patch keamanan untuk mengatasi kelemahan ini pada bulan Juni 2025, ketika memperingatkan bahwa eksploitasi CVE-2025-48700 tidak memerlukan interaksi pengguna dan dapat dipicu ketika pengguna melihat pesan email perusak yang berbahaya di UI Zimbra Classic.
Pada hari Senin, CISA menandai CVE-2025-48700 sebagai disalahgunakan di alam liar dan menambahkannya untuk itu Katalog Kerentanan yang Dieksploitasi (KEV) yang Diketahuiberdasarkan bukti eksploitasi aktif.
Badan keamanan siber AS juga memerintahkan lembaga Federal Civilian Executive Branch (FCEB) untuk mengamankan server Zimbra mereka dalam waktu tiga hari, paling lambat tanggal 23 April.
Pada hari Jumat, pengawas keamanan Internet Shadowserver juga memperingatkan itu lebih dari 10.500 server Zimbra yang terekspos secara online masih belum ditambal, sebagian besar terjadi di Asia (3.794) dan Eropa (3.793).
Meskipun CISA tidak membagikan rincian apa pun tentang serangan CVE-2025-48700, kerentanan XSS lainnya (dilacak sebagai CVE-2025-66376 Dan ditambal pada awal November) dieksploitasi oleh peretas militer APT28 (alias Fancy Bear, Strontium) yang didukung negara dalam serangan phishing yang menargetkan entitas pemerintah Ukraina dimulai pada bulan Januari.
Kampanye phishing ini (dengan nama sandi Operasi GhostMail oleh peneliti keamanan di Seqrite Labs) juga menargetkan Badan Hidrologi Negara Ukraina (entitas infrastruktur penting di bawah Kementerian Infrastruktur yang menyediakan dukungan navigasi, maritim, dan hidrografi) dan mengirimkan muatan JavaScript yang dikaburkan ketika penerima membuka email berbahaya di sesi webmail Zimbra yang rentan.
“Email phishing tidak memiliki lampiran berbahaya, tidak ada tautan mencurigakan, tidak ada makro. Seluruh rantai serangan berada di dalam badan HTML satu email, tidak ada lampiran berbahaya,” kata Seqrite Labs saat itu.
Kelemahan Zimbra sering dieksploitasi dalam serangan dan telah digunakan untuk membobol ribuan server email yang rentan dalam beberapa tahun terakhir.
Misalnya, cyberespies Winter Vivern Rusia menggunakan eksploitasi XSS lainnya untuk menerobos portal webmail Zimbra pada bulan Februari 2023 dan mencuri email yang dikirim dan diterima oleh organisasi dan individu yang bersekutu dengan NATO, termasuk personel militer, pejabat pemerintah, dan diplomat.
Baru-baru ini, pada bulan Oktober 2024, badan siber AS dan Inggris memperingatkan bahwa peretas APT29 (alias Cozy Bear, Midnight Blizzard) yang terkait dengan Badan Intelijen Luar Negeri (SVR) Rusia adalah menargetkan server Zimbra yang rentan “dalam skala besar”, mengeksploitasi masalah keamanan yang sebelumnya telah disalahgunakan untuk mencuri kredensial akun email.
99% Mitos yang Ditemukan Masih Belum Ditambal.
AI menyatukan empat zero-day menjadi satu eksploitasi yang melewati penyaji dan sandbox OS. Gelombang eksploitasi baru akan datang.
Pada Autonomous Validation Summit (12 & 14 Mei), lihat bagaimana validasi yang otonom dan kaya konteks menemukan hal-hal yang dapat dieksploitasi, membuktikan bahwa kontrol tetap berlaku, dan menutup siklus remediasi.
