Bilinmeyen tehdit aktörlerinin, kullanıcı kimlik bilgilerini çalmak üzere tasarlanmış bir kimlik avı saldırısının parçası olarak açık kaynaklı Roundcube web posta yazılımındaki artık yamalanmış bir güvenlik açığından yararlanmaya çalıştığı gözlemlendi.
Rus siber güvenlik şirketi Positive Technologies, geçen ay Bağımsız Devletler Topluluğu (BDT) ülkelerinden birinde bulunan, adı belirtilmeyen bir hükümet kuruluşuna bir e-posta gönderildiğini keşfettiğini söyledi. Ancak mesajın ilk olarak Haziran 2024’te gönderildiğini belirtmekte fayda var.
“E-posta, yalnızca ekli bir belge içeren, metinsiz bir mesaj gibi görünüyordu” söz konusu Bu hafta başlarında yayınlanan bir analizde.
“Ancak e-posta istemcisi eki göstermedi. E-postanın gövdesi, JavaScript kodunu çözen ve çalıştıran eval(atob(…)) ifadesini içeren ayırt edici etiketler içeriyordu.”
Positive Technologies’e göre saldırı zinciri, bir istismar girişimidir CVE-2024-37383 (CVSS puanı: 6.1), depolanmış bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığı SVG animasyonu kurbanın web tarayıcısı bağlamında rastgele JavaScript yürütülmesine izin veren özellikler.
Başka bir deyişle, uzaktaki bir saldırgan, e-posta alıcısını özel hazırlanmış bir mesajı açması için kandırarak rastgele JavaScript kodu yükleyebilir ve hassas bilgilere erişebilir. Sorun o zamandan beri çözüldü Mayıs 2024 itibarıyla 1.5.7 ve 1.6.7 sürümlerinde.
Positive Technologies, “”href” değeri olarak JavaScript kodunu ekleyerek, bir Roundcube istemcisi kötü amaçlı bir e-postayı açtığında bunu Roundcube sayfasında çalıştırabiliriz.” dedi.
Bu durumda JavaScript verisi, boş Microsoft Word ekini (“Yol haritası.docx”) kaydeder ve ardından ManageSieve eklentisini kullanarak posta sunucusundan mesajları almaya devam eder. Ayrıca, mağdurları Roundcube kimlik bilgilerini vermeleri konusunda kandırmak amacıyla kullanıcıya görüntülenen HTML sayfasında bir oturum açma formu da görüntüler.
Son aşamada, yakalanan kullanıcı adı ve şifre bilgileri uzaktaki bir sunucuya sızdırılır (“libcdn[.]kuruluş“) Cloudflare’de barındırılıyor.
Roundcube’da keşfedilen önceki kusurlar APT28, Winter Vivern ve TAG-70 gibi birden fazla bilgisayar korsanlığı grubu tarafından kötüye kullanılmış olsa da şu anda bu istismar faaliyetinin arkasında kimin olduğu belli değil.
Şirket, “Roundcube web postası en yaygın kullanılan e-posta istemcisi olmasa da, devlet kurumları tarafından yaygın kullanımı nedeniyle bilgisayar korsanlarının hedefi olmaya devam ediyor” dedi. “Bu yazılıma yapılan saldırılar önemli hasarlara neden olabilir ve siber suçluların hassas bilgileri çalmasına olanak tanıyabilir.”
