{"id":1014702,"date":"2023-10-25T13:46:35","date_gmt":"2023-10-25T13:46:35","guid":{"rendered":"https:\/\/teknomers.com\/es\/hackers-del-estado-nacion-explotan-el-dia-cero-en-el-software-de-correo-web-roundcube\/"},"modified":"2023-10-25T13:46:38","modified_gmt":"2023-10-25T13:46:38","slug":"hackers-del-estado-nacion-explotan-el-dia-cero-en-el-software-de-correo-web-roundcube","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/hackers-del-estado-nacion-explotan-el-dia-cero-en-el-software-de-correo-web-roundcube\/","title":{"rendered":"Hackers del estado naci\u00f3n explotan el d\u00eda cero en el software de correo web Roundcube"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>25 de octubre de 2023<\/span>\ue804<\/i>Sala de redacci\u00f3n<\/span><\/span>Inteligencia de amenazas\/vulnerabilidad<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Se observ\u00f3 que el actor de amenazas conocido como Winter Vivern explotaba una falla de d\u00eda cero en el software de correo web Roundcube el 11 de octubre de 2023 para recopilar mensajes de correo electr\u00f3nico de las cuentas de las v\u00edctimas.<\/p>\n

“Winter Vivern ha intensificado sus operaciones utilizando una vulnerabilidad de d\u00eda cero en Roundcube”, dijo el investigador de seguridad de ESET Matthieu Faou. dicho<\/a> en un nuevo informe publicado hoy. Anteriormente, utilizaba vulnerabilidades conocidas en Roundcube y Zimbra, para las cuales hay pruebas de concepto disponibles en l\u00ednea”.<\/p>\n

\"La<\/a><\/center><\/div>\n

Winter Vivern, tambi\u00e9n conocido como TA473 y UAC-0114, es un colectivo adversario cuyos objetivos se alinean con los de Bielorrusia y Rusia. En los \u00faltimos meses, se ha atribuido a ataques contra Ucrania y Polonia, as\u00ed como contra entidades gubernamentales en toda Europa e India.<\/p>\n

Tambi\u00e9n se estima que el grupo aprovech\u00f3 anteriormente otra falla de Roundcube (CVE-2020-35730), lo que lo convierte en el segundo grupo de estado-naci\u00f3n despu\u00e9s de APT28 en atacar el software de correo web de c\u00f3digo abierto.<\/p>\n

\"Software<\/a><\/div>\n

La nueva vulnerabilidad de seguridad en cuesti\u00f3n es CVE-2023-5631<\/a> (Puntuaci\u00f3n CVSS: 5,4), una falla de secuencias de comandos entre sitios almacenada que podr\u00eda permitir a un atacante remoto cargar c\u00f3digo JavaScript arbitrario. Se public\u00f3 una soluci\u00f3n el 14 de octubre de 2023.<\/p>\n

Las cadenas de ataques montadas por el grupo comienzan con un mensaje de phishing que incorpora una carga \u00fatil codificada en Base64 en el c\u00f3digo fuente HTML que, a su vez, se decodifica en una inyecci\u00f3n de JavaScript desde un servidor remoto al convertir la falla XSS en un arma.<\/p>\n

“En resumen, al enviar un mensaje de correo electr\u00f3nico especialmente dise\u00f1ado, los atacantes pueden cargar c\u00f3digo JavaScript arbitrario en el contexto de la ventana del navegador del usuario de Roundcube”, explic\u00f3 Faou. “No se requiere ninguna interacci\u00f3n manual aparte de ver el mensaje en un navegador web”.<\/p>\n

\"La<\/a><\/center><\/div>\n

El JavaScript de segunda etapa (checkupdate.js) es un cargador que facilita la ejecuci\u00f3n de una carga \u00fatil final de JavaScript que permite al actor de amenazas filtrar mensajes de correo electr\u00f3nico a un servidor de comando y control (C2).<\/p>\n

“A pesar de la baja sofisticaci\u00f3n del conjunto de herramientas del grupo, es una amenaza para los gobiernos de Europa debido a su persistencia, la ejecuci\u00f3n muy regular de campa\u00f1as de phishing y porque un n\u00famero significativo de aplicaciones de Internet no se actualizan peri\u00f3dicamente, aunque se sabe que contienen vulnerabilidades”, dijo Faou.<\/p>\n

<\/p>\n

\u00bfEncontr\u00f3 interesante este art\u00edculo? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n