XSS-уязвимость в Roundcube используется для кражи учетных данных

Злоумышленники использовали XSS-уязвимость (CVE-2024-37383) в клиенте Roundcube Webmail для атаки на правительственную организацию одной из стран СНГ, обнаружили аналитики Positive Technologies (PT).

Уязвимость была исправлена в мае 2024 года в Roundcube Webmail версий 1.5.7 и 1.6.7. Письмо с эксплойтом было отправлено в июне 2024 года.

О CVE-2024-37383

Roundcube – это браузерный IMAP-клиент с открытым исходным кодом и пользовательским интерфейсом, который делает его похожим на отдельное приложение.

CVE-2024-37383 – уязвимость межсайтового скриптинга, которая может быть спровоцирована через атрибуты SVG animate. Межсайтовый скриптинг позволяет злоумышленникам внедрять вредоносный код на доверенные веб-сайты, который выполняется после загрузки сайта.

В данном случае письмо было составлено так, что в нем не отображался текст, а только прикрепленный документ, но простого открытия письма было достаточно для выполнения вредоносного JavaScript-кода на странице пользователя.

На самом деле тело письма содержит скрытый JavaScript-код, который загружает Road map.doc в качестве приманки, в то время как в фоновом режиме он:

  • Пытается перехватить сообщения с почтового сервера с помощью плагина ManageSieve.
  • Добавляет форму авторизации на HTML-страницу, отображаемую пользователю, в надежде, что логин и пароль для клиента Roundcube будут либо автоматически заполнены, либо введены самим пользователем. Если это произойдет, учетные данные будут переданы на удаленный сервер, контролируемый злоумышленниками.

Важность своевременного исправления

XSS-уязвимости в Roundcube Webmail обнаруживаются и исправляются часто.

Хотя Roundcube Webmail, возможно, не является самым распространенным почтовым клиентом, он остается мишенью для хакеров из-за его широкого использования государственными учреждениями. Атаки на это программное обеспечение могут привести к значительному ущербу, позволяя злоумышленникам похищать конфиденциальную информацию, отмечают исследователи PT, и подчеркивают важность своевременного обновления программного обеспечения.

Сударев Александр Эксперт по безопасности, криптовалютам и умным домам

Люблю технологии и криптовалюты. Создаю свой умный дом и делюсь этим с Вами. Знаю как предотвратить хакерскую атаку, так как немного смыслю в безопасности

Похожие статьи

Комментарии (0)