Hackerek kihasználják a Roundcube Webmail XSS sérülékenységét
Ismeretlen kiberszereplők megpróbálták kihasználni a nyílt forráskódú Roundcube webmail szoftver nemrég javított biztonsági hibáját egy adathalász-támadás keretében, amelynek célja a felhasználói hitelesítő adatok ellopása. A Positive Technologies orosz kiberbiztonsági vállalat közölte, hogy a múlt hónapban felfedezett egy e-mailt, amelyet egy meg nem nevezett, a Független Államok Közössége (FÁK) egyik országában található kormányzati szervezetnek küldtek. Meg kell azonban jegyezni, hogy az üzenetet eredetileg 2024 júniusában küldték. „Az e-mail szöveg nélküli üzenetnek tűnt, amely csak egy csatolt dokumentumot tartalmazott” – áll a hét elején közzétett elemzésben.
„Az e-mail kliens azonban nem mutatta a mellékletet. Az e-mail body megkülönböztető címkéket tartalmazott az eval(atob(…)) utasítással, amelyek JavaScript kódot dekódolnak és hajtanak végre”. A támadási lánc, a Positive Technologies szerint, a CVE-2024-37383 (CVSS score: 6.1), egy stored cross-site scripting (XSS) sérülékenység kihasználására tesz kísérletet az SVG animate attribútumokon keresztül, amely lehetővé teszi tetszőleges JavaScript végrehajtását az áldozat webböngészőjének kontextusában. Tehát egy távoli támadó tetszőleges JavaScript kódot tölthet be, és hozzáférhet érzékeny információkhoz egyszerűen úgy, hogy ráveszi az e-mail címzettjét egy speciálisan szerkesztett üzenet megnyitására. A problémát azóta az 1.5.7-es és az 1.6.7-es verziókban 2024 májusban már orvosolták.
