یک گروه هکری به نام Winter Vivern از یک نقص روز صفر در نرمافزار وب میل Roundcube برای جمعآوری پیامهای ایمیل از حسابهای قربانیان استفاده میکند.
محققان امنیتی ESET در گزارشی عنوان کردند که این گروه عملیات خود را با استفاده از آسیبپذیری روز صفر در Roundcube افزایش داده است و قبلاً هم از آسیبپذیریهای شناختهشده در Roundcube و Zimbra استفاده کرده که اثباتهای مفهومی برای آنها به صورت آنلاین در دسترس هستند. Winter Vivern در گذشته نیز با بهرهبرداری از نقص دیگری در Roundcube (CVE-2020-35730)، این نرمافزار open-source را هدف قرار داده است.
آسیبپذیری امنیتی جدید با شناسه CVE-2023-5631 و شدت 5.4، یک نقص XSS ذخیره شده است که میتواند به مهاجم اجازه دهد تا راه دور کد جاوا اسکریپت دلخواه را بارگیری کند.
اجرای حمله با یک پیام فیشینگ آغاز میشود که شامل یک payload رمزگذاری شده با Base64 در کد منبع HTML است که با استفاده از نقص XSS، از طریق یک سرور راه دور به یک تزریق جاوا اسکریپت رمزگشایی میشود. به طور خلاصه، با ارسال یک پیام ایمیل جعلی خاص، مهاجمان میتوانند کد جاوا اسکریپت دلخواه را در چارچوب پنجره مرورگر کاربر Roundcube بارگیری کنند. هیچ عملیات دستی دیگری به جز مشاهده پیام در مرورگر وب مورد نیاز نیست!
جاوا اسکریپت مرحله دوم (checkupdate.js) یک loader است که اجرای یک payload نهایی جاوا اسکریپت را تسهیل میکند و به مهاجم اجازه میدهد پیامهای ایمیل را به یک سرور فرمان و کنترل (C2) منتقل کند.
شکل 1) نمونه کد جاوا اسکریپت تولید شده
محصولات تحت تأثیر
نسخههای 1.4.15، 1.5 تا قبل از 1.5.5 و 1.6 تا قبل از 1.6.4 نرمافزار Roundcube تحت تاثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
به کاربران توصیه میشود تمام نسخههای 1.4، 1.5 و 1.6 این نرمافزار را به نسخههای جدید بهروزرسانی کنند.
منابع خبر:
[1] https://thehackernews.com/2023/10/nation-state-hackers-exploiting-zero.html
[2] https://roundcube.net/news/2023/10/16/security-update-1.6.4-released
[3] https://roundcube.net/news/2023/10/16/security-updates-1.5.5-and-1.4.15
- 119