Actorii de amenințare au exploatat o vulnerabilitate în clientul Roundcube Webmail pentru a viza organizațiile guvernamentale din regiunea Comunității Statelor Independente (CSI), succesoarea fostei Uniuni Sovietice.
O atacare a fost descoperită de compania rusă de securitate cibernetică Positive Technologies în septembrie, însă cercetătorii au determinat că activitatea actorilor de amenințare a început în iunie.
Roundcube Webmail este o soluție de webmail open-source, bazată pe PHP, cu suport pentru module pentru a-și extinde funcționalitatea, care este populară printre entitățile comerciale și guvernamentale.
Actorul de amenințare a exploatat o vulnerabilitate XSS (cross-site scripting) de severitate medie identificată ca CVE-2024-37383, care permite executarea de cod JavaScript rău intenționat pe pagina Roundcube atunci când se deschide un e-mail special conceput.
Problema este declanșată de procesarea incorectă a elementelor SVG din e-mail, care ocolește verificările de sintaxă și permite codului rău intenționat să fie executat pe pagina utilizatorului.
Positive Technologies raportează că atacurile au folosit e-mailuri fără conținut vizibil și doar un atașament .DOC. Cu toate acestea, actorul de amenințare a încorporat o încărcătură ascunsă în codul pe care clientul îl procesează, dar nu-l arată în corpul mesajului pe baza unor taguri specifice, „
Încărcătura este un fragment de cod JavaScript codificat în base64 și mascat ca valoare „href”. Descarcă un document decoy (Hartă rutieră.doc) de pe serverul de poștă pentru a distrage victima.
În același timp, injectează un formular de conectare neautorizat în pagina HTML pentru a solicita mesaje de la serverul de poștă.
„Un formular de autorizare cu câmpurile rcmloginuser și rcmloginpwd (numele de utilizator și parola utilizatorului pentru clientul Roundcube) este adăugat la pagina HTML afișată utilizatorului” – Positive Technologies
Potrivit cercetătorilor, actorul de amenințare se așteaptă ca cele două câmpuri să fie completate, manual sau automat, și astfel să obțină datele de conectare ale țintei.
Dacă acestea sunt completate, datele sunt trimise către un server la distanță la „libcdn[.]org”, înregistrat recent și găzduit pe infrastructura Cloudflare.
În plus, atacatorii folosesc modulul ManageSieve pentru a exfiltra mesajele de pe serverul de poștă, spun cercetătorii.
CVE-2024-37383 afectează versiunile Roundcube anterioare 1.5.6 și versiunile 1.6 până la 1.6.6, astfel încât administratorii de sistem care încă se află pe acele versiuni sunt recomandați să actualizeze cât mai curând posibil.
Vulnerabilitatea a fost abordată odată cu lansarea Roundcube Webmail 1.5.7 și 1.6.7 pe 19 mai. Cea mai recentă versiune disponibilă, care este actualizarea recomandată, este 1.6.9, lansată pe 1 septembrie.
Deficiențele Roundcube sunt adesea vizate de hackeri datorită organizațiilor importante care folosesc această unealtă open-source.
Mai devreme în acest an, CISA a avertizat despre hackeri care vizează CVE-2023-43770, o altă problemă XSS în Roundcube, oferind organizațiilor federale două săptămâni pentru a remedia.
În octombrie 2023, hackerii ruși cunoscuți sub numele de „Winter Vivern” au fost observați exploatând o deficiență zero-day XSS pe Roundcube, urmărită ca CVE-2023-5631, pentru a sparge entități guvernamentale și grupuri de reflecție în Europa.
În iunie 2023, hackerii GRU din grupul APT28 au exploatat patru probleme de securitate în Roundcube pentru a fura informații de pe serverele de e-mail folosite de mai multe organizații din Ucraina, inclusiv agenții guvernamentale.
CISA îndeamnă dezvoltatorii de software să elimine vulnerabilitățile XSS
Google: 70% dintre deficiențele exploatate dezvăluite în 2023 au fost zero-day-uri
Deficiența SolarWinds Web Help Desk este acum exploatată în atacuri
Mozilla rezolvă zero-day-ul Firefox activ exploatat în atacuri
Qualcomm remediază un zero-day de severitate ridicată exploatat în atacuri
Leave a Reply