Atores de ameaças têm explorado uma vulnerabilidade no cliente de Webmail Roundcube para atacar organizações governamentais na região da Comunidade dos Estados Independentes (CEI), sucessora da antiga União Soviética.
Um ataque foi descoberto pela empresa russa de cibersegurança Positive Technologies em setembro, mas os pesquisadores determinaram que a atividade do ator de ameaça tinha começado em junho.
Roundcube Webmail é uma solução de webmail baseada em PHP, de código aberto, com suporte para plugins para estender sua funcionalidade, que é popular tanto com entidades comerciais quanto governamentais.
O ator de ameaça explorou uma vulnerabilidade de XSS (cross-site scripting) armazenado de média gravidade identificada como
CVE-2024-37383
, que permite a execução de código JavaScript malicioso na página do Roundcube ao abrir um e-mail especialmente criado.
A questão é desencadeada pelo processamento impróprio de elementos SVG no e-mail, que burla as verificações de sintaxe e permite que o código malicioso seja executado na página do usuário.
A Positive Technologies relata que os ataques utilizaram e-mails sem conteúdo visível e apenas um anexo em .DOC.
No entanto, o ator de ameaça incorporou um payload oculto dentro do código que o cliente processa, mas não mostra no corpo da mensagem com base em tags específicas, “<animate>”, neste caso.
O payload é um pedaço do código JavaScript codificado em base64 disfarçado como um valor de “href”.
Ele faz o download de um documento de distração (Road map.doc) do servidor de e-mail para distrair a vítima.
Ao mesmo tempo, ele injeta um formulário de login não autorizado na página HTML para solicitar mensagens do servidor de e-mail.
De acordo com os pesquisadores, o ator de ameaça espera que os dois campos sejam preenchidos, manual ou automaticamente, e assim obter as credenciais da conta do alvo.
Se eles conseguem, os dados são enviados para um servidor remoto em “libcdn[.]org”, registrado recentemente e hospedado na infraestrutura da Cloudflare.
Adicionalmente, os atacantes usam o plugin ManageSieve para exfiltrar mensagens do servidor de e-mail, dizem os pesquisadores.
CVE-2024-37383
afeta versões do Roundcube anteriores a 1.5.6 e versões de 1.6 a 1.6.6, então os administradores de sistema que ainda estão nessas versões são recomendados a atualizar o quanto antes.
A vulnerabilidade foi corrigida com o lançamento do Roundcube Webmail 1.5.7 e 1.6.7 em 19 de maio.
A versão mais recente disponível, que é o upgrade recomendado, é 1.6.9, lançada em 1º de setembro.
Falhas no Roundcube são frequentemente visadas por hackers devido ao uso da ferramenta de código aberto por organizações importantes.
No início deste ano, a CISA alertou sobre hackers visando a
CVE-2023-43770
, outro bug de XSS no Roundcube, dando a organizações federais duas semanas para aplicar o patch.
Em outubro de 2023, hackers russos conhecidos como 'Winter Vivern' foram observados explorando uma falha XSS zero-day no Roundcube, rastreada como
CVE-2023-5631
, para violar entidades governamentais e think tanks na Europa.
Em junho de 2023, hackers do GRU do grupo APT28 exploraram quatro falhas no Roundcube para roubar informações de servidores de e-mail usados por várias organizações na Ucrânia, incluindo agências governamentais.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...