Οι φορείς απειλών εκμεταλλεύονται μια ευπάθεια στον πελάτη Webmail Roundcube για να στοχεύσουν κυβερνητικούς οργανισμούς στην περιοχή της Κοινοπολιτείας Ανεξάρτητων Κρατών (CIS), τον διάδοχο της πρώην Σοβιετικής Ένωσης.
Μια επίθεση ανακαλύφθηκε από τη ρωσική εταιρεία κυβερνοασφάλειας Positive Technologies τον Σεπτέμβριο, αλλά οι ερευνητές διαπίστωσαν ότι η δραστηριότητα του παράγοντα απειλής είχε ξεκινήσει τον Ιούνιο.
Το Roundcube Webmail είναι μια λύση webmail ανοιχτού κώδικα, βασισμένη σε PHP, με υποστήριξη προσθηκών για την επέκταση της λειτουργικότητάς της, η οποία είναι δημοφιλής σε εμπορικούς και κυβερνητικούς φορείς.
Ο ηθοποιός της απειλής εκμεταλλεύτηκε α μέτριας σοβαρότητας αποθηκευμένο θέμα ευπάθειας XSS (cross-site scripting) που προσδιορίζεται ως CVE-2024-37383, το οποίο επιτρέπει την εκτέλεση κακόβουλου κώδικα JavaScript στη σελίδα Roundcube κατά το άνοιγμα ενός ειδικά διαμορφωμένου email.
Το πρόβλημα προκαλείται από ακατάλληλη επεξεργασία των στοιχείων SVG στο email, η οποία παρακάμπτει τους συντακτικούς ελέγχους και επιτρέπει την εκτέλεση κακόβουλου κώδικα στη σελίδα του χρήστη.
Το “κενό” email κλέβει τα διαπιστευτήρια
Θετικές Τεχνολογίες εκθέσεις ότι οι επιθέσεις χρησιμοποιούσαν μηνύματα ηλεκτρονικού ταχυδρομείου χωρίς ορατό περιεχόμενο και μόνο συνημμένο .DOC. Ωστόσο, ο παράγοντας απειλών ενσωμάτωσε ένα κρυφό ωφέλιμο φορτίο στον κώδικα που επεξεργάζεται ο πελάτης αλλά δεν εμφανίζεται στο σώμα του μηνύματος με βάση συγκεκριμένες ετικέτες, “
Πηγή: Positive Technologies
Το ωφέλιμο φορτίο είναι ένα κομμάτι κώδικα JavaScript με κωδικοποίηση βάσης 64 που έχει μεταμφιεστεί ως τιμή “href”. Κατεβάζει ένα έγγραφο δόλωμα (Road map.doc) από τον διακομιστή αλληλογραφίας για να αποσπάσει την προσοχή του θύματος.
Ταυτόχρονα, εισάγει μια μη εξουσιοδοτημένη φόρμα σύνδεσης στη σελίδα HTML για να ζητήσει μηνύματα από τον διακομιστή αλληλογραφίας.
“Μια φόρμα εξουσιοδότησης με τα πεδία rcmloginuser και rcmloginpwd (σύνδεση χρήστη και κωδικός πρόσβασης για τον πελάτη Roundcube) προστίθεται στη σελίδα HTML που εμφανίζεται στον χρήστη” – Θετικές Τεχνολογίες
Σύμφωνα με τους ερευνητές, ο παράγοντας απειλής αναμένει ότι τα δύο πεδία θα συμπληρωθούν, χειροκίνητα ή αυτόματα, και έτσι θα αποκτήσει τα διαπιστευτήρια του λογαριασμού του στόχου.
Εάν το κάνουν, τα δεδομένα αποστέλλονται σε έναν απομακρυσμένο διακομιστή στο “libcdn[.]org», καταχωρήθηκε πρόσφατα και φιλοξενήθηκε στην υποδομή Cloudflare.
Επιπλέον, οι επιτιθέμενοι χρησιμοποιούν το πρόσθετο ManageSieve για να εξάγουν μηνύματα από τον διακομιστή αλληλογραφίας, λένε οι ερευνητές.
Πηγή: Positive Technologies
Ασφαλίστε το Roundcube σας
Το CVE-2024-37383 επηρεάζει τις εκδόσεις Roundcube παλαιότερες από την 1.5.6 και τις εκδόσεις 1.6 έως 1.6.6, επομένως συνιστάται στους διαχειριστές συστήματος που εξακολουθούν να βρίσκονται σε αυτές τις εκδόσεις να ενημερώνονται το συντομότερο δυνατό.
Η ευπάθεια αντιμετωπίστηκε με την κυκλοφορία του Roundcube Webmail 1.5.7 και 1.6.7 στις 19 Μαΐου. Η τελευταία διαθέσιμη έκδοση, που είναι η προτεινόμενη αναβάθμιση, είναι 1.6.9που κυκλοφόρησε την 1η Σεπτεμβρίου.
Τα ελαττώματα του Roundcube συχνά στοχοποιούνται από χάκερ λόγω σημαντικών οργανισμών που χρησιμοποιούν το εργαλείο ανοιχτού κώδικα.
Νωρίτερα φέτος, η CISA προειδοποίησε ότι οι χάκερ στοχεύουν το CVE-2023-43770, ένα άλλο σφάλμα XSS στο Roundcube, δίνοντας στους ομοσπονδιακούς οργανισμούς δύο εβδομάδες για να επιδιορθώσουν.
Τον Οκτώβριο του 2023, οι Ρώσοι χάκερ γνωστοί ως «Winter Vivern» παρατηρήθηκαν να εκμεταλλεύονται ένα ελάττωμα XSS μηδενικής ημέρας στο Roundcube, το οποίο παρακολουθείται ως CVE-2023-5631, για να παραβιάσουν κυβερνητικές οντότητες και δεξαμενές σκέψης στην Ευρώπη.
Τον Ιούνιο του 2023, χάκερ της GRU της ομάδας APT28 εκμεταλλεύτηκαν τέσσερα ελαττώματα του Roundcube για να κλέψουν πληροφορίες από διακομιστές email που χρησιμοποιούνται από πολλούς οργανισμούς στην Ουκρανία, συμπεριλαμβανομένων κρατικών υπηρεσιών.
VIA: bleepingcomputer.com
