Piratai išnaudoja Roundcube žiniatinklio pašto trūkumą, kad pavogtų el. paštą ir kredencialus


Grėsmės veikėjai pasinaudojo Roundcube Webmail kliento pažeidžiamumu, siekdami nukreipti į vyriausybines organizacijas Nepriklausomų valstybių sandraugos (NVS) regione, buvusios Sovietų Sąjungos įpėdinio.

Ataką Rusijos kibernetinio saugumo bendrovė „Positive Technologies“ aptiko rugsėjį, tačiau tyrėjai nustatė, kad grėsmės veikėjų veikla prasidėjo birželį.

„Roundcube Webmail“ yra atvirojo kodo, PHP pagrindu sukurtas žiniatinklio pašto sprendimas, palaikantis papildinius, siekiant išplėsti jo funkcionalumą, populiarus tarp komercinių ir vyriausybinių subjektų.

Grėsmės veikėjas išnaudojo vidutinio sunkumo saugomą XSS (cross-site scripting) pažeidžiamumą, identifikuotą kaip CVE-2024-37383, kuris leidžia vykdyti kenkėjišką JavaScript kodą „Roundcube“ puslapyje atidarant specialiai sukurtą el.

Problema kyla dėl netinkamo SVG elementų apdorojimo el. laiške, kuris apeina sintaksės patikras ir leidžia vykdyti kenkėjišką kodą vartotojo puslapyje.

„Tuščias“ el. laiškas vagia kredencialus

„Positive Technologies“ praneša, kad atakoms buvo naudojami el. laiškai be matomo turinio ir tik .DOC priedas. Tačiau grėsmės veikėjas į kodą, kurį klientas apdoroja, bet nerodo pranešimo tekste, įterpė paslėptą naudingą apkrovą, remdamasis konkrečiomis žymomis, šiuo atveju „“.

Laiškas išsiųstas tikslams
Laiškas išsiųstas tikslams
Šaltinis: Positive Technologies

Naudingoji apkrova yra „Base64“ koduoto „JavaScript“ kodo dalis, užmaskuota kaip „href“ reikšmė. Jis iš pašto serverio atsisiunčia jauko dokumentą (Road map.doc), kad atitrauktų auką.

Tuo pačiu metu jis įveda neteisėtą prisijungimo formą į HTML puslapį, kad prašytų pranešimų iš pašto serverio.

„Į vartotojui rodomą HTML puslapį pridedama autorizavimo forma su laukais rcmloginuser ir rcmloginpwd (vartotojo prisijungimo vardas ir slaptažodis Roundcube klientui)“ – Positive Technologies

Tyrėjų teigimu, grėsmės veikėjas tikisi, kad du laukai bus užpildyti rankiniu būdu arba automatiškai ir taip gaus taikinio paskyros kredencialus.

Jei taip, duomenys siunčiami į nuotolinį serverį, esantį „libcdn(.)org“, kuris neseniai užregistruotas ir priglobtas „Cloudflare“ infrastruktūroje.

Be to, užpuolikai naudoja „ManageSieve“ papildinį, kad išfiltruotų pranešimus iš pašto serverio, teigia mokslininkai.

Bandyta išfiltruoti duomenis
Bandyta išfiltruoti duomenis
Šaltinis: Positive Technologies

Apsaugokite savo Roundcube

CVE-2024-37383 turi įtakos senesnėms nei 1.5.6 Roundcube versijoms ir 1.6–1.6.6 versijoms, todėl sistemos administratoriams, vis dar naudojantiems tas versijas, rekomenduojama atnaujinti kuo greičiau.

Pažeidžiamumas buvo pašalintas gegužės 19 d. išleidus Roundcube Webmail 1.5.7 ir 1.6.7. Naujausia versija, kuri yra rekomenduojamas atnaujinimas, yra 1.6.9, išleista rugsėjo 1 d.

„Roundcube“ trūkumai dažnai yra įsilaužėlių taikiniai, nes svarbios organizacijos naudoja atvirojo kodo įrankį.

Anksčiau šiais metais CISA perspėjo apie programišius, nusitaikiusius į CVE-2023-43770 – dar vieną XSS klaidą programoje „Roundcube“, todėl federalinėms organizacijoms buvo suteikta dvi savaitės pataisyti.

2023 m. spalio mėn. Rusijos įsilaužėliai, žinomi kaip „Winter Vivern“, buvo pastebėti, naudojantys nulinės dienos XSS trūkumą „Roundcube“, pažymėtą CVE-2023-5631, siekdami pažeisti vyriausybės subjektus ir ekspertų centrus Europoje.

2023 m. birželio mėn. APT28 grupės GRU įsilaužėliai pasinaudojo keturiais Roundcube trūkumais, kad pavogtų informaciją iš el. pašto serverių, kuriuos naudoja kelios organizacijos Ukrainoje, įskaitant vyriausybines agentūras.



Source link

Draugai: - Marketingo agentūra - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Miesto naujienos - Šeimos gydytojai - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai - Teniso treniruotės - Pranešimai spaudai -