CISA предупреждает, что уязвимость почтового клиента Roundcube, исправленная в сентябре, теперь активно используется в атаках с использованием межсайтового скриптинга (XSS).
Дефект безопасности (CVE-2023-43770 ) представляет собой постоянную ошибку межсайтового скриптинга (XSS), позволяющую злоумышленникам получать доступ к ограниченной информации через обычные/текстовые сообщения, злонамеренно созданные ссылки в атаках низкой сложности, требующих взаимодействия с пользователем.
Уязвимость затрагивает Roundcube, работающие с версиями новее 1.4.14, 1.5.x до 1.5.4 и 1.6.x до 1.6.3.
«Мы настоятельно рекомендуем обновить все установки Roundcube 1.6.x до этой новой версии»
- заявила команда безопасности Roundcube, выпустив обновления безопасности CVE-2023-43770 пять месяцев назад
Несмотря на отсутствие подробностей об атаках, CISA сообщила об уязвимости в своем докладе Known Exploited Vulnerabilities Catalog, предупредив, что подобные недостатки безопасности являются «частыми векторами атак для злоумышленников и представляют значительный риск для федерального сектора».
CISA также предписывает федеральным гражданским исполнительным органам США (FCEB) защитить серверы веб-почты Roundcube от этой ошибки безопасности в течение трех недель, к 4 марта, как того требует обязательная оперативная директива (BOD 22-01), выпущенная в ноябре 2021 года.
Несмотря на то, что основной задачей каталога KEV является предупреждение федеральных агентств об уязвимостях, которые необходимо устранить как можно скорее, частным организациям по всему миру также настоятельно рекомендуется в спешном порядке устранить этот недостаток.
Shodan в настоящее время отслеживает более 132 000 серверов Roundcube, доступные в Интернете. Однако нет информации о том, сколько из них подвержены атакам с использованием эксплойтов CVE-2023-43770.
Другой недостаток Roundcube, хранимая уязвимость межсайтового скриптинга (XSS), отслеживаемая как CVE-2023-5631, была нацелена на нулевой день российской хакерской группой Winter Vivern (aka TA473), по крайней мере, с 11 октября.
Злоумышленники использовали HTML-сообщения, содержащие тщательно созданные вредоносные SVG-документы, предназначенные для удаленной инъекции произвольного кода JavaScript.
Полезная нагрузка JavaScript, переданная в ходе октябрьских атак, позволила российским хакерам похитить электронную почту со взломанных серверов веб-почты Roundcube, принадлежащих правительственным организациям и аналитическим центрам в Европе.
Операторы Winter Vivern также использовали XSS-уязвимость Roundcube CVE-2020-35730 в период с августа по сентябрь 2023 года.
Эта же ошибка была использована российской группой кибершпионажа APT28 для взлома почтовых серверов Roundcube, принадлежащих правительству Украины.
В начале 2023 года хакеры Winter Vivern также использовали XSS-уязвимость Zimbra CVE-2022-27926 для атак на страны НАТО и кражи электронной почты, принадлежащей правительствам, чиновникам и военным НАТО.