Investigadores de ciberseguridad han revelado detalles de fallas de seguridad en el software de correo web Roundcube que podrían explotarse para ejecutar JavaScript malicioso en el navegador web de una víctima y robar información confidencial de su cuenta en circunstancias específicas.
«Cuando una víctima ve un correo electrónico malicioso en Roundcube enviado por un atacante, el atacante puede ejecutar JavaScript arbitrario en el navegador de la víctima», dijo la empresa de ciberseguridad Sonar dicho en un análisis publicado esta semana.
«Los atacantes pueden aprovechar la vulnerabilidad para robar correos electrónicos, contactos y la contraseña de correo electrónico de la víctima, así como enviar correos electrónicos desde la cuenta de la víctima».
Tras la divulgación responsable el 18 de junio de 2024, las tres vulnerabilidades han sido dirigido en las versiones 1.6.8 y 1.5.8 de Roundcube lanzadas el 4 de agosto de 2024.
La lista de vulnerabilidades es la siguiente:
- CVE-2024-42008 – Una falla de secuencias de comandos entre sitios a través de un archivo adjunto de correo electrónico malicioso con un encabezado Content-Type peligroso
- CVE-2024-42009 – Una falla de secuencias de comandos entre sitios que surge del posprocesamiento de contenido HTML desinfectado
- CVE-2024-42010 – Una falla de divulgación de información que se origina en un filtrado CSS insuficiente
La explotación exitosa de las fallas mencionadas anteriormente podría permitir a atacantes no autenticados robar correos electrónicos y contactos, así como enviar correos electrónicos desde la cuenta de una víctima, pero después de ver un correo electrónico especialmente diseñado en Roundcube.
«Los atacantes pueden obtener un punto de apoyo persistente en el navegador de la víctima luego de varios reinicios, lo que les permite filtrar correos electrónicos continuamente o robar la contraseña de la víctima la próxima vez que la ingrese», dijo el investigador de seguridad Oskar Zeino-Mahmalat.
«Para que un ataque tenga éxito, no se requiere ninguna interacción del usuario más allá de ver el correo electrónico del atacante para explotar la vulnerabilidad XSS crítica (CVE-2024-42009). En el caso de CVE-2024-42008, se necesita un solo clic de la víctima para que la vulnerabilidad funcione, pero el atacante puede hacer que esta interacción no sea evidente para el usuario».
Se han retenido detalles técnicos adicionales sobre los problemas para dar tiempo a los usuarios a actualizar a la última versión y en vista del hecho de que las fallas en el software de correo web han sido explotadas repetidamente por actores de estados nacionales como APT28, Winter Vivern y TAG-70.
Los hallazgos surgen a medida que surgen detalles sobre una falla de escalada de privilegios locales de máxima gravedad en el RaspAP proyecto de código abierto (CVE-2024-41637Puntuación CVSS: 10,0) que permite a un atacante acceder a la raíz y ejecutar varios comandos críticos. La vulnerabilidad se ha solucionado en la versión 3.1.5.
«El usuario www-data tiene acceso de escritura al archivo restapi.service y también posee privilegios sudo para ejecutar varios comandos críticos sin contraseña», dijo un investigador de seguridad que utiliza el alias en línea 0xZon1. dicho«Esta combinación de permisos permite a un atacante modificar el servicio para ejecutar código arbitrario con privilegios de root, escalando su acceso de www-data a root».