Se ha observado que actores de amenazas desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de c\u00f3digo abierto Roundcube como parte de un ataque de phishing dise\u00f1ado para robar credenciales de usuario.<\/p>\n
La empresa rusa de ciberseguridad Positive Technologies dijo que descubri\u00f3 el mes pasado que se envi\u00f3 un correo electr\u00f3nico a una organizaci\u00f3n gubernamental no especificada ubicada en uno de los pa\u00edses de la Comunidad de Estados Independientes (CEI). Sin embargo, cabe se\u00f1alar que el mensaje se envi\u00f3 originalmente en junio de 2024.<\/p>\n
“El correo electr\u00f3nico parec\u00eda ser un mensaje sin texto, que conten\u00eda s\u00f3lo un documento adjunto”, dicho<\/a> en un an\u00e1lisis publicado a principios de esta semana.<\/p>\n “Sin embargo, el cliente de correo electr\u00f3nico no mostr\u00f3 el archivo adjunto. El cuerpo del correo electr\u00f3nico conten\u00eda etiquetas distintivas con la declaraci\u00f3n eval(atob(…)), que decodifica y ejecuta c\u00f3digo JavaScript”.<\/p>\n La cadena de ataque, seg\u00fan Positive Technologies, es un intento de explotar CVE-2024-37383<\/a> (Puntuaci\u00f3n CVSS: 6.1), una vulnerabilidad de secuencias de comandos entre sitios (XSS) almacenadas a trav\u00e9s de SVG animado<\/a> atributos que permiten la ejecuci\u00f3n de JavaScript arbitrario en el contexto del navegador web de la v\u00edctima.<\/p>\n Dicho de otra manera, un atacante remoto podr\u00eda cargar c\u00f3digo JavaScript arbitrario y acceder a informaci\u00f3n confidencial simplemente enga\u00f1ando al destinatario de un correo electr\u00f3nico para que abra un mensaje especialmente dise\u00f1ado. Desde entonces, el problema ha sido resuelto<\/a> en las versiones 1.5.7 y 1.6.7 a partir de mayo de 2024.<\/p>\n “Al insertar c\u00f3digo JavaScript como valor de “href”, podemos ejecutarlo en la p\u00e1gina de Roundcube cada vez que un cliente de Roundcube abre un correo electr\u00f3nico malicioso”, se\u00f1al\u00f3 Positive Technologies.<\/p>\n La carga \u00fatil de JavaScript, en este caso, guarda el archivo adjunto vac\u00edo de Microsoft Word (“Road map.docx”) y luego procede a obtener mensajes del servidor de correo utilizando el complemento ManageSieve. Tambi\u00e9n muestra un formulario de inicio de sesi\u00f3n en la p\u00e1gina HTML que se muestra al usuario en un intento de enga\u00f1ar a las v\u00edctimas para que proporcionen sus credenciales de Roundcube.<\/p>\n En la etapa final, la informaci\u00f3n de nombre de usuario y contrase\u00f1a capturada se extrae a un servidor remoto (“libcdn[.]organizaci\u00f3n<\/a>“) alojado en Cloudflare.<\/p>\n Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la actividad de explotaci\u00f3n, aunque m\u00faltiples grupos de hackers como APT28, Winter Vivern y TAG-70 han abusado de fallas anteriores descubiertas en Roundcube.<\/p>\n “Si bien el correo web Roundcube puede no ser el cliente de correo electr\u00f3nico m\u00e1s utilizado, sigue siendo un objetivo para los piratas inform\u00e1ticos debido a su uso predominante por parte de agencias gubernamentales”, dijo la compa\u00f1\u00eda. “Los ataques a este software pueden provocar da\u00f1os importantes y permitir a los ciberdelincuentes robar informaci\u00f3n confidencial”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Los-piratas-informaticos-aprovechan-la-vulnerabilidad-XSS-de-Roundcube-Webmail.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n