Siber güvenlik araştırmacıları, Roundcube web posta yazılımındaki güvenlik açıklarına ilişkin ayrıntıları açıkladı. Bu açıklar, belirli koşullar altında kurbanın web tarayıcısında kötü amaçlı JavaScript çalıştırarak hesabından hassas bilgileri çalmak için kullanılabiliyor.
Siber güvenlik şirketi Sonar, “Bir kurban, bir saldırgan tarafından Roundcube’da gönderilen kötü amaçlı bir e-postayı görüntülediğinde, saldırgan kurbanın tarayıcısında keyfi JavaScript çalıştırabilir” dedi. söz konusu Bu hafta yayınlanan bir analizde.
“Saldırganlar bu açığı kullanarak kurbanın e-postalarını, kişilerini ve e-posta şifresini çalabilir ve kurbanın hesabından e-posta gönderebilir.”
18 Haziran 2024’te yapılan sorumlu açıklamanın ardından üç güvenlik açığı ortadan kaldırıldı ele alinan 4 Ağustos 2024’te yayınlanan Roundcube 1.6.8 ve 1.5.8 sürümlerinde.
Güvenlik açıklarının listesi şu şekildedir:
- CVE-2024-42008 – Tehlikeli bir İçerik Türü başlığıyla sunulan kötü amaçlı bir e-posta eki aracılığıyla çapraz site komut dosyası çalıştırma açığı
- CVE-2024-42009 – Temizlenmiş HTML içeriğinin sonradan işlenmesinden kaynaklanan bir siteler arası betik hatası
- CVE-2024-42010 – Yetersiz CSS filtrelemesinden kaynaklanan bir bilgi ifşa hatası
Yukarıda belirtilen açıkların başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış saldırganların e-postaları ve kişileri çalmasına, ayrıca Roundcube’da özel olarak hazırlanmış bir e-postayı görüntüledikten sonra kurbanın hesabından e-posta göndermesine olanak tanıyabilir.
Güvenlik araştırmacısı Oskar Zeino-Mahmalat, “Saldırganlar, kurbanın tarayıcısında yeniden başlatmalar sırasında kalıcı bir yer edinebilir, bu sayede e-postaları sürekli olarak dışarı aktarabilir veya kurbanın şifresini bir sonraki girişte çalabilirler” dedi.
“Başarılı bir saldırı için, kritik XSS açığını (CVE-2024-42009) istismar etmek için saldırganın e-postasını görüntülemenin ötesinde bir kullanıcı etkileşimi gerekmez. CVE-2024-42008 için, istismarın çalışması için kurbanın tek bir tıklaması gerekir, ancak saldırgan bu etkileşimi kullanıcı için belirsiz hale getirebilir.”
Kullanıcılara en son sürüme güncelleme yapmaları için zaman tanımak ve web posta yazılımındaki kusurların APT28, Winter Vivern ve TAG-70 gibi ulus-devlet aktörleri tarafından defalarca istismar edildiği gerçeği ışığında, sorunlarla ilgili ek teknik ayrıntılar gizlendi.
Bulgular, yerel ayrıcalık yükseltme hatasının maksimum ciddiyetiyle ilgili ayrıntıların ortaya çıkmasıyla birlikte geldi. RaspAP açık kaynaklı proje (CVE-2024-41637CVSS puanı: 10.0) bir saldırganın köke yükselmesine ve birkaç kritik komutu yürütmesine olanak tanır. Bu güvenlik açığı 3.1.5 sürümünde giderilmiştir.
“www-data kullanıcısı restapi.service dosyasına yazma erişimine sahiptir ve ayrıca parola olmadan birkaç kritik komutu yürütmek için sudo ayrıcalıklarına sahiptir”, çevrimiçi takma adı 0xZon1 olan bir güvenlik araştırmacısı söz konusu“Bu izin kombinasyonu, bir saldırganın hizmeti değiştirerek kök ayrıcalıklarıyla keyfi kod yürütmesine ve erişimini www-data’dan köke yükseltmesine olanak tanır.”