NewsZimbra

Informasi Keamanan: Mengatasi Celah Keamanan SNMP Swatchdog di Zimbra (Severity S1)

Zimbra baru saja merilis pembaruan terkait celah keamanan darurat dengan tingkat bahaya tertinggi (Severity: Critical S1). Kerentanan ini menyerang komponen Swatchdog yang berfungsi untuk melakukan pemantauan dan pengiriman notifikasi pada layanan SNMP.

Hacker memanfaatkan kelemahan interpretasi shell (shell-execution weakness) pada subroutine SNMP untuk menyisipkan perintah berbahaya. Proses mitigasi celah keamanan ini tidak mengganggu lalu lintas email masuk dan keluar (zero downtime).

Untuk mengatasi risiko ini, ada tahapan mitigasi yang perlu dilakukan:

Skenario 1: Menonaktifkan SNMP Secara Total

Banyak tim administrator yang sebenarnya tidak memanfaatkan SNMP untuk monitoring harian. Jika perusahaan Anda tidak memanfaatkan SNMP ini, langkah paling aman adalah mematikan fungsi SNMP sepenuhnya.

Jalankan perintah ini pada setiap node MTA dan Logger Anda:

sudo su - zimbra -c 'zmswatchctl stop'
sudo su - zimbra -c 'zmprov ms $(zmhostname) -zimbraServiceEnabled snmp'

Skenario 2: Melakukan Patching pada Konfigurasi Swatchdog

Apabila tim Anda memerlukan layanan SNMP, celah interpretasi shell tersebut dapat dimitigasi secara manual.

• Matikan Layanan Swatchdog:

  sudo su - zimbra -c 'zmswatchctl stop'
  

• Perketat Aturan RegEx: Buka file konfigurasi utama di /opt/zimbra/conf/swatchrc.in (lakukan backup file terlebih dahulu). Cari baris pola berikut:

  /: Service status change: (\S+) (.*) changed from stopped to running/
  /: Service status change: (\S+) (.*) changed from running to stopped/
  

  Ubah kedua baris tersebut menjadi aturan yang hanya menerima nama layanan resmi Zimbra:

/: Service status change: (\S+) ([a-z0-9_-]+) changed from stopped to running/
/: Service status change: (\S+) ([a-z0-9_-]+) changed from running to stopped/

• Amankan dosnmp: Masih di dalam file /opt/zimbra/conf/swatchrc.in, temukan blok fungsi dosnmp. Ganti seluruh eksekusi bersimbol backticks (` ) dengan perintah fungsi system yang jauh lebih aman.

  Ubah kode bawaan menjadi struktur seperti di bawah ini:

  perlcode 0 sub dosnmp { my %args = (@_); print "SNMP notification: $args{MESSAGE}\n"; system("/opt/zimbra/common/bin/snmptrap", "-v", "2c", "-c", "zimbra", $traphost, "", $snmpsvctrap, $snmpsvcname, "s", $args{SERVICE}, $snmpsvcstatus, "i", $statuses{$args{STATUS}}); }
  

• Aktifkan Kembali Layanan:

     sudo su - zimbra -c 'zmswatchctl start'
  

Langkah pembersihan manual ini akan langsung memotong jalur eksekusi ilegal secara instan. Tim Zimbra saat ini sedang merampungkan paket instalasi permanen untuk menghapus jalur kode yang rentan tersebut pada pembaruan versi berikutnya.

Segera periksa arsitektur server Zimbra Anda dan terapkan langkah mitigasi di atas untuk menjaga integritas data perusahaan Anda.

Apabila Anda memiliki pertanyaan lebih lanjut mengenai mitigasi ini, hubungi kami melalui email support@excellent.co.id atau Support Portal kami.

AboutMuhammad Zaidan

IT Support for PT Excellent Infotama Kreasindo | Certified Nakivo Technical & Sales Professional | In charge of Excellent Managed Services (EMS), Proxmox and Nakivo