Злоумышленники использовали XSS-уязвимость (CVE-2024-37383) в клиенте Roundcube Webmail для атаки на правительственную организацию одной из стран СНГ, обнаружили аналитики Positive Technologies (PT).
Уязвимость была исправлена в мае 2024 года в Roundcube Webmail версий 1.5.7 и 1.6.7. Письмо с эксплойтом было отправлено в июне 2024 года.
О CVE-2024-37383
Roundcube – это браузерный IMAP-клиент с открытым исходным кодом и пользовательским интерфейсом, который делает его похожим на отдельное приложение.
CVE-2024-37383 – уязвимость межсайтового скриптинга, которая может быть спровоцирована через атрибуты SVG animate. Межсайтовый скриптинг позволяет злоумышленникам внедрять вредоносный код на доверенные веб-сайты, который выполняется после загрузки сайта.
В данном случае письмо было составлено так, что в нем не отображался текст, а только прикрепленный документ, но простого открытия письма было достаточно для выполнения вредоносного JavaScript-кода на странице пользователя.
На самом деле тело письма содержит скрытый JavaScript-код, который загружает Road map.doc в качестве приманки, в то время как в фоновом режиме он:
- Пытается перехватить сообщения с почтового сервера с помощью плагина ManageSieve.
- Добавляет форму авторизации на HTML-страницу, отображаемую пользователю, в надежде, что логин и пароль для клиента Roundcube будут либо автоматически заполнены, либо введены самим пользователем. Если это произойдет, учетные данные будут переданы на удаленный сервер, контролируемый злоумышленниками.
Важность своевременного исправления
XSS-уязвимости в Roundcube Webmail обнаруживаются и исправляются часто.
Хотя Roundcube Webmail, возможно, не является самым распространенным почтовым клиентом, он остается мишенью для хакеров из-за его широкого использования государственными учреждениями. Атаки на это программное обеспечение могут привести к значительному ущербу, позволяя злоумышленникам похищать конфиденциальную информацию, отмечают исследователи PT, и подчеркивают важность своевременного обновления программного обеспечения.