Volexity mengidentifikasi kampanye spear-phishing yang diduga dilakukan oleh threat actor TEMP_Heretic yang mengeksploitasi kerentanan zero-day cross-site scripting (XSS) pada platform open-source e-mail Zimbra.
Volexity menyatakan penyerang dapat melakukan ekstraksi cookie yang memungkinkan dilakukannya akses secara terus-menerus ke kotak surat, mengirim e-mail phishing dari akun e-mail yang telah disusupi untuk memperluas infeksi, dan menampilkan perintah pengunduhan dari situs terpercaya yang sebenarnya berisi malware.
Produk yang terdampak dari kerentanan ini yaitu Zimbra versi 8.8.15 Patch 29 dan Zimbra versi 8.8.15 Patch 30. Zimbra belum menerbitkan panduan perbaikan namun Volexity memberikan rekomendasi sebagaimana berikut:
- Melakukan pemblokiran Indicator of Compromise (IoC) pada e-mail gateway dan tingkat jaringan;
- Melakukan analisis data perujuk historis untuk akses dan perujuk yang mencurigakan pada lokasi log default adalah /opt/zimbra/log/access*.log; dan
- Melakukan pembaruan Zimbra ke versi 9.0.0.
Informasi lengkap mengenai Peringatan Keamanan Kerentanan Cross-Site Scripting pada Zimbra tersebut dapat diakses di sini.
Sumber: https://bssn.go.id/peringatan-keamanan-kerentanan-cross-site-scripting-pada-zimbra/