Pesquisadores de cibersegurança revelaram detalhes sobre falhas de segurança no software de webmail Roundcube, as quais podem ser exploradas para executar JavaScript malicioso no navegador web de uma vítima e roubar informações sensíveis de sua conta sob circunstâncias específicas.
"Ao visualizar um e-mail malicioso no Roundcube enviado por um atacante, o atacante pode executar JavaScript arbitrário no navegador da vítima," afirmou a empresa de cibersegurança Sonar em uma análise publicada esta semana.
Os atacantes podem abusar da vulnerabilidade para roubar e-mails, contatos e a senha do e-mail da vítima, além de enviar e-mails a partir da conta da vítima.
Após a divulgação responsável em 18 de junho de 2024, as três vulnerabilidades foram corrigidas nas versões 1.6.8 e 1.5.8 do Roundcube, lançadas em 4 de agosto de 2024.
A lista de vulnerabilidades é a seguinte:
CVE-2024-42008
- Uma falha de cross-site scripting através de um anexo de e-mail malicioso servido com um cabeçalho Content-Type perigoso
CVE-2024-42009
- Uma falha de cross-site scripting que surge do pós-processamento de conteúdo HTML higienizado
CVE-2024-42010
- Uma falha de divulgação de informação que decorre de filtragem insuficiente de CSS
A exploração bem-sucedida das falhas mencionadas poderia permitir a atacantes não autenticados roubar e-mails e contatos, bem como enviar e-mails a partir da conta de uma vítima, mas após visualizar um e-mail especialmente criado no Roundcube.
"Os atacantes podem obter um ponto de apoio persistente no navegador da vítima através de reinícios, permitindo-lhes exfiltrar e-mails continuamente ou roubar a senha da vítima na próxima vez que for inserida", disse o pesquisador de segurança Oskar Zeino-Mahmalat.
Para um ataque bem-sucedido, nenhuma interação do usuário além de visualizar o e-mail do atacante é necessária para explorar a vulnerabilidade crítica XSS (
CVE-2024-42009
).
Para o
CVE-2024-42008
, um único clique pela vítima é necessário para que o exploit funcione, mas o atacante pode tornar essa interação imperceptível para o usuário.
Detalhes técnicos adicionais sobre os problemas foram retidos para dar tempo aos usuários para atualizar para a versão mais recente, e tendo em vista que as falhas no software de webmail foram repetidamente exploradas por atores estatais como APT28, Winter Vivern e TAG-70.
As descobertas surgem enquanto detalhes emergiram sobre uma falha de escalonamento de privilégios local de severidade máxima no projeto open-source RaspAP (
CVE-2024-41637
, pontuação CVSS: 10.0) que permite a um atacante elevar a root e executar vários comandos críticos.
A vulnerabilidade foi corrigida na versão 3.1.5.
"O usuário www-data tem acesso de escrita ao arquivo restapi.service e também possui privilégios sudo para executar vários comandos críticos sem senha," disse um pesquisador de segurança que usa o pseudônimo online 0xZon1.
Esta combinação de permissões permite que um atacante modifique o serviço para executar código arbitrário com privilégios de root, escalando seu acesso de www-data para root.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...