Две уязвимости межсайтового скриптинга (CVE-2024-42009, CVE-2024-42008), затрагивающие Roundcube могут быть использованы злоумышленниками для кражи электронной почты и контактов пользователей, пароля электронной почты и отправки писем с их аккаунта.
Roundcube – это программное решение для веб-почты с открытым исходным кодом, популярное среди европейских правительственных учреждений, хостинг-провайдеров и академических институтов по всему миру.
Об уязвимостях
CVE-2024-42009 и CVE-2024-42008 – обе ошибки XSS. Первая позволяет удаленному злоумышленнику украсть и отправить электронную почту жертвы через поддельное сообщение, вторая – через вредоносное вложение.
«Для эксплуатации [CVE-2024-42009] не требуется никакого взаимодействия с пользователем, кроме просмотра электронной почты злоумышленника. Для CVE-2024-42008 для срабатывания эксплойта требуется один клик жертвы, но злоумышленник может сделать это взаимодействие неочевидным для пользователя. Когда жертва просматривает вредоносное письмо в Roundcube, отправленное злоумышленником, он может выполнить произвольный JavaScript в браузере жертвы. Злоумышленники могут закрепиться в браузере жертвы после перезапуска, что позволит им постоянно перехватывать электронную почту или красть пароль жертвы при следующем вводе»
- отметил исследователь уязвимостей Sonar Оскар Зейно-Махмалат (Oskar Zeino-Mahmalat)
Третья уязвимость – CVE-2024-42010 – позволяет, подменяя CSS-стили (Cascading Style Sheets) в сообщении электронной почты, получить конфиденциальную информацию.
Все три уязвимости были исправлены в версиях Roundcube 1.6.8 и 1.5.8.
«Мы не будем раскрывать технические подробности уязвимостей, чтобы дать пользователям время обновиться. Мы подозреваем, что это не остановит надолго таких целеустремленных злоумышленников, как Винтер Виверн, которые уже показали, что могут самостоятельно находить подобные XSS-уязвимости. Мы настоятельно рекомендуем администраторам Roundcube как можно скорее применить последний патч, версию 1.6.8 или 1.5.8, чтобы защитить пользователей своей организации. Пользователям, которые подозревают, что они пострадали, следует сменить пароль электронной почты и дополнительно очистить данные сайта Roundcube, который они используют, в своем браузере.»
- сказал Зейно-Махмалат
XSS-уязвимости Roundcube особо полюбились злоумышленникам
В июне 2023 года компания Recorded Future разоблачила фишинговую кампанию, направленную на украинские государственные организации, которая использовала CVE-2020-35730 и CVE-2021-44026 – XSS и SQL-инъекции соответственно – для кражи информации из базы данных Roundcube.
В октябре 2023 года исследователи ESET обнаружили APT Winter Vivern нацеленную на европейские правительственные организации и аналитический центр с помощью XSS нулевого дня (CVE-2023-5631).
С конца 2023 года разработчики Roundcube постоянно исправляют ряд XSS-уязвимостей.
В феврале 2024 года CISA предписала федеральным правительственным агентствам США устранить XSS-уязвимость Roundcube (CVE-2023-43770), эксплуатируемую неизвестными злоумышленниками.
Комментарии (0)