Peringatan CSA: SmarterMail Rawan Diretas Tanpa Login

Cyber Security Agency of Singapore (CSA) mengeluarkan peringatan serius terkait ditemukannya celah keamanan kritis pada perangkat lunak email SmarterMail buatan SmarterTools. Kerentanan ini dinilai sangat berbahaya karena dapat dimanfaatkan oleh penyerang untuk menjalankan kode berbahaya dari jarak jauh atau yang dikenal sebagai remote code execution (RCE).

Celah keamanan tersebut tercatat dengan kode CVE-2025-52691 dan memperoleh skor CVSS 10.0, skor tertinggi dalam penilaian kerentanan keamanan siber. Skor ini menandakan bahwa dampak dan tingkat risikonya sangat tinggi, terutama karena serangan dapat dilakukan tanpa memerlukan proses login atau autentikasi apa pun.

Menurut penjelasan CSA, kelemahan ini berkaitan dengan mekanisme unggah berkas yang tidak aman (arbitrary file upload). Melalui celah tersebut, penyerang yang tidak terautentikasi dapat mengunggah file apa pun ke server email SmarterMail, bahkan ke direktori sensitif. Jika file tersebut berupa skrip berbahaya, sistem dapat langsung mengeksekusinya.

Jenis kerentanan seperti ini tergolong berisiko tinggi karena aplikasi secara otomatis memproses file yang diunggah. Apabila file yang masuk dikenali sebagai kode—misalnya file PHP atau skrip lainnya—maka penyerang bisa menjalankan perintah berbahaya, mencuri data, hingga mengambil alih kendali server secara penuh.

Dalam skenario serangan yang mungkin terjadi, pelaku kejahatan siber dapat menyisipkan malicious binaries atau web shell ke dalam server. Dengan cara ini, penyerang memperoleh akses jarak jauh dengan hak yang sama seperti layanan SmarterMail itu sendiri. Akibatnya, seluruh sistem email, data pengguna, dan infrastruktur server berada dalam risiko besar.

SmarterMail dikenal sebagai solusi email dan kolaborasi yang kerap digunakan sebagai alternatif Microsoft Exchange. Platform ini menyediakan berbagai fitur seperti pengiriman email aman, kalender bersama, pengelolaan kontak, hingga pesan instan. Berdasarkan informasi resmi di situsnya, SmarterMail digunakan oleh sejumlah penyedia layanan hosting internasional, termasuk ASPnix Web Hosting, Hostek, dan simplehosting.ch.

CSA menyebutkan bahwa kerentanan CVE-2025-52691 berdampak pada SmarterMail versi Build 9406 dan versi sebelumnya. SmarterTools telah merilis pembaruan keamanan untuk menutup celah ini melalui Build 9413 pada 9 Oktober 2025.

Pihak CSA juga memberikan kredit kepada Chua Meng Han dari Centre for Strategic Infocomm Technologies (CSIT) yang telah menemukan dan melaporkan kerentanan tersebut, sehingga dapat segera ditangani sebelum menimbulkan dampak yang lebih luas.

Meski hingga saat ini belum ada laporan resmi mengenai eksploitasi aktif di dunia nyata, CSA tetap mengimbau seluruh pengguna SmarterMail untuk tidak menunda pembaruan sistem. Pengguna sangat disarankan untuk segera meng-upgrade ke versi terbaru, yaitu Build 9483 yang dirilis pada 18 Desember 2025, demi memastikan sistem email tetap aman dari potensi serangan siber.

Peringatan ini menjadi pengingat penting bahwa pembaruan perangkat lunak bukan sekadar peningkatan fitur, melainkan langkah krusial untuk menjaga keamanan data dan layanan digital di tengah meningkatnya ancaman siber global.