Des chercheurs en cybersécurité ont révélé des détails sur des failles de sécurité dans le logiciel de messagerie Web Roundcube qui pourraient être exploitées pour exécuter du JavaScript malveillant dans le navigateur Web d’une victime et voler des informations sensibles de son compte dans des circonstances spécifiques.
« Lorsqu’une victime consulte un e-mail malveillant dans Roundcube envoyé par un attaquant, l’attaquant peut exécuter du JavaScript arbitraire dans le navigateur de la victime », a déclaré la société de cybersécurité Sonar dit dans une analyse publiée cette semaine.
« Les attaquants peuvent exploiter cette vulnérabilité pour voler les e-mails, les contacts et le mot de passe de l’e-mail de la victime, ainsi que pour envoyer des e-mails à partir du compte de la victime. »
Suite à une divulgation responsable le 18 juin 2024, les trois vulnérabilités ont été adressé dans les versions Roundcube 1.6.8 et 1.5.8 publiées le 4 août 2024.
La liste des vulnérabilités est la suivante :
- CVE-2024-42008 – Une faille de script intersite via une pièce jointe malveillante envoyée par courrier électronique avec un en-tête Content-Type dangereux
- CVE-2024-42009 – Une faille de script intersite résultant du post-traitement de contenu HTML nettoyé
- CVE-2024-42010 – Une faille de divulgation d’informations résultant d’un filtrage CSS insuffisant
L’exploitation réussie des failles susmentionnées pourrait permettre à des attaquants non authentifiés de voler des e-mails et des contacts, ainsi que d’envoyer des e-mails à partir du compte d’une victime, mais après avoir consulté un e-mail spécialement conçu dans Roundcube.
« Les attaquants peuvent obtenir un accès persistant au navigateur de la victime au fil des redémarrages, ce qui leur permet d’exfiltrer les e-mails en continu ou de voler le mot de passe de la victime la prochaine fois qu’il est saisi », a déclaré le chercheur en sécurité Oskar Zeino-Mahmalat.
« Pour qu’une attaque réussisse, aucune interaction de l’utilisateur autre que la consultation de l’e-mail de l’attaquant n’est nécessaire pour exploiter la vulnérabilité XSS critique (CVE-2024-42009). Pour CVE-2024-42008, un seul clic de la victime est nécessaire pour que l’exploit fonctionne, mais l’attaquant peut rendre cette interaction invisible pour l’utilisateur. »
Des détails techniques supplémentaires sur les problèmes ont été retenus pour donner le temps aux utilisateurs de mettre à jour vers la dernière version, et à la lumière du fait que les failles du logiciel de messagerie Web ont été exploitées à plusieurs reprises par des acteurs étatiques comme APT28, Winter Vivern et TAG-70.
Ces résultats surviennent alors que des détails ont émergé sur une faille d’escalade de privilèges locaux de gravité maximale dans le RaspAP projet open source (CVE-2024-41637score CVSS : 10,0) qui permet à un attaquant d’accéder au niveau root et d’exécuter plusieurs commandes critiques. La vulnérabilité a été corrigée dans la version 3.1.5.
« L’utilisateur www-data a un accès en écriture au fichier restapi.service et possède également des privilèges sudo pour exécuter plusieurs commandes critiques sans mot de passe », a déclaré un chercheur en sécurité connu sous le pseudonyme en ligne 0xZon1 dit« Cette combinaison d’autorisations permet à un attaquant de modifier le service pour exécuter du code arbitraire avec des privilèges root, augmentant ainsi son accès de www-data à root. »