7 Kerentanan SEPPMail Secure E-Mail Gateway: RCE dan Akses Surat Terbuka

SEPPMail Secure E-Mail Gateway, solusi keamanan email kelas enterprise, baru-baru ini ditemukan memiliki 7 kerentanan serius yang memungkinkan penyerang melakukan remote code execution (RCE) dan mengakses isi surat elektronik secara sembarangan.

Menurut laporan dari peneliti InfoGuard Labs, Dario Weiss, Manuel Feifel, dan Olivier Becker, celah-celah ini memungkinkan peretas tidak hanya membaca seluruh lalu lintas email yang melewati perangkat, tapi juga berpotensi menjadi pintu masuk ke jaringan internal perusahaan.

Daftar Kerentanan SEPPMail Secure E-Mail Gateway

• CVE-2026-2743 (CVSS 10.0): Kerentanan path traversal pada fitur transfer file besar (Large File Transfer/LFT) di antarmuka web pengguna SEPPMail yang memungkinkan penulisan file sembarangan dan berujung pada eksekusi kode jarak jauh.
• CVE-2026-7864 (CVSS 6.9): Kebocoran informasi sistem sensitif yang mengungkap variabel lingkungan server melalui endpoint tanpa autentikasi di antarmuka baru GINA UI.
• CVE-2026-44125 (CVSS 9.3): Tidak adanya pemeriksaan otorisasi pada beberapa endpoint di GINA UI yang memungkinkan penyerang tanpa autentikasi mengakses fungsi yang seharusnya memerlukan sesi valid.
• CVE-2026-44126 (CVSS 9.2): Kerentanan deserialisasi data tidak terpercaya yang memungkinkan eksekusi kode oleh penyerang jarak jauh tanpa autentikasi melalui objek ter-serialisasi berbahaya.
• CVE-2026-44127 (CVSS 8.8): Path traversal tanpa autentikasi pada endpoint "/api.app/attachment/preview" yang memungkinkan pembacaan file lokal sembarangan dan penghapusan file di direktori target dengan hak proses "api.app".
• CVE-2026-44128 (CVSS 9.3): Kerentanan injeksi eval yang memungkinkan eksekusi kode jarak jauh tanpa autentikasi dengan memanfaatkan parameter "upldd" yang langsung diteruskan ke fungsi eval() Perl tanpa penyaringan.
• CVE-2026-44129 (CVSS 8.3): Kurangnya penetralan elemen khusus dalam mesin template yang memungkinkan penyerang mengeksekusi ekspresi template arbitrer dan bisa berujung pada eksekusi kode tergantung plugin template yang aktif.

Skema Serangan dan Dampak

Salah satu skenario serangan yang diuraikan adalah eksploitasi CVE-2026-2743 dimana penyerang dapat menimpa konfigurasi syslog sistem ("/etc/syslog.conf") dengan akses tulis milik pengguna "nobody". Ini dapat membuka jalur untuk mendapatkan reverse shell berbasis Perl.

Jika berhasil, serangan ini memungkinkan pengambilalihan penuh perangkat SEPPMail, termasuk akses membaca semua lalu lintas email dan keberlangsungan akses yang sulit dideteksi.

Salah satu tantangan teknis adalah syslogd hanya membaca ulang konfigurasi ketika menerima sinyal SIGHUP. Namun, sistem menggunakan newsyslog untuk rotasi log yang berjalan setiap 15 menit melalui cron, yang secara otomatis mengirim sinyal SIGHUP setelah log mencapai batas ukuran tertentu.

Dengan membanjiri berkas log seperti SEPPMaillog yang memiliki batas 10.000 KB, penyerang dapat memicu rotasi dan pemuatan ulang konfigurasi, yang dapat dimanipulasi untuk mengeksekusi kode berbahaya hanya melalui permintaan web.

Penanggulangan dan Pembaruan

SEPPMail telah merilis pembaruan keamanan untuk menambal kerentanan-kerentanan tersebut:

1. CVE-2026-44128 telah diperbaiki pada versi 15.0.2.1.
2. CVE-2026-44126 ditangani pada versi 15.0.3.
3. Sisanya telah ditambal dalam versi 15.0.4.

Ini merupakan tindak lanjut beberapa minggu setelah SEPPMail memperbaiki kerentanan kritis lain dengan skor CVSS 9.5 yang memungkinkan eksekusi perintah sistem operasi secara arbitrer.

Menurut laporan The Hacker News, penting bagi organisasi yang menggunakan SEPPMail untuk segera memperbarui perangkat lunak mereka guna menutup celah keamanan ini dan mencegah potensi serangan berbahaya.

Analisis Redaksi

Menurut pandangan redaksi, penemuan bertubi-tubi celah keamanan pada SEPPMail memperingatkan pentingnya pengawasan berkelanjutan terhadap perangkat keamanan email yang dianggap sebagai benteng utama perlindungan data perusahaan. Remote code execution yang dapat dicapai tanpa autentikasi menunjukkan risiko serius terhadap keamanan infrastruktur TI perusahaan.

Lebih jauh, kemampuan penyerang membaca seluruh surat elektronik yang melewati gateway ini membuka peluang besar untuk pencurian data sensitif, spionase korporasi, dan penyebaran malware secara luas. Ini bukan hanya masalah teknis, tapi juga ancaman nyata terhadap privasi dan bisnis.

Ke depan, pembaca dan perusahaan harus meningkatkan kesadaran pentingnya patch management yang cepat dan juga menguji ketahanan sistem secara berkala melalui audit dan simulasi serangan. Selain itu, vendor perangkat keamanan harus lebih proaktif dan transparan dalam merilis patch serta mendukung pengguna agar tidak terlambat mengamankan sistem mereka.

Untuk informasi terbaru dan update patch keamanan di sektor email gateway, pembaca dapat mengikuti berita dari sumber tepercaya seperti CNN Indonesia Teknologi dan media keamanan siber lainnya.

Dengan meningkatnya serangan siber global, menjaga keamanan email gateway menjadi salah satu prioritas utama dalam melindungi data perusahaan dan memastikan kelangsungan bisnis yang aman.