Η CISA προειδοποιεί ότι μια ευπάθεια διακομιστή ηλεκτρονικού ταχυδρομείου Roundcube που διορθώθηκε τον Σεπτέμβριο χρησιμοποιείται τώρα ενεργά σε επιθέσεις δέσμης ενεργειών μεταξύ τοποθεσιών (XSS).
Το
ελάττωμα ασφαλείας (
CVE-2023-43770
) είναι ένα μόνιμο σφάλμα δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) που επιτρέπει στους εισβολείς να έχουν πρόσβαση σε περιορισμένες πληροφορίες μέσω απλών/μηνυμάτων κειμένου κακόβουλα δημιουργημένων συνδέσμων σε επιθέσεις χαμηλής πολυπλοκότητας που απαιτούν αλληλεπίδραση με τον χρήστη.
Η ευπάθεια επηρεάζει τους διακομιστές email Roundcube που εκτελούν εκδόσεις νεότερες από 1.4.14, 1.5.x πριν από 1.5.4 και 1.6.x πριν από την 1.6.3.
“Συνιστούμε ανεπιφύλακτα να ενημερώσετε όλες τις παραγωγικές εγκατασ
τάσεις
του Roundcube 1.6.x με αυτή τη νέα έκδοση”, δήλωσε η ομάδα ασφαλείας Roundcube όταν κυκλοφόρησε τις ενημερώσεις ασφαλείας CVE-2023-43770 πριν από πέντε μήνες.
Αν και δεν παρείχε λεπτομέρειες για τις επιθέσεις, η CISA
προστέθηκε
την ευπάθεια σε αυτήν
Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειών
προειδοποιώντας ότι τέτοιου είδους ελαττώματα ασφαλείας είναι “διανύσματα συχνών επιθέσεων για κακόβουλους φορείς του κυβερνοχώρου και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση”.
Η CISA διέταξε επίσης τις
υπηρεσίες
του Federal Civilian Executive Branch (FCEB) των ΗΠΑ να προστατεύσουν τους διακομιστές ηλεκτρονικού ταχυδρομείου Roundcube από αυτό το σφάλμα ασφαλείας εντός τριών εβδομάδων, έως τις 4 Μαρτίου, όπως απαιτείται από μια δεσμευτική επιχειρησιακή οδηγία (
ΔΣ 22-01
) που εκδόθηκε τον Νοέμβριο του 2021.
Αν και ο πρωταρχικός στόχος του καταλόγου KEV είναι να ειδοποιήσει τις ομοσπονδιακές υπηρεσίες σχετικά με τρωτά σημεία που πρέπει να διορθωθούν το συντομότερο δυνατό, οι ιδιωτικοί οργανισμοί σε όλο τον κόσμο συνιστώνται επίσης να δώσουν προτεραιότητα στην αντιμετώπιση αυτού του ελαττώματος.
Ο Shodan παρακολουθεί αυτήν τη στιγμή
πάνω από 132.000 διακομιστές Roundcube
προσβάσιμο στο διαδίκτυο. Ωστόσο, δεν υπάρχουν διαθέσιμες πληροφορίες σχετικά με το πόσοι είναι ευάλωτοι σε συνεχείς επιθέσεις που χρησιμοποιούν εκμεταλλεύσεις CVE-2023-43770.
Διακομιστές Roundcube που εκτίθενται στο Διαδίκτυο (Shodan)
Ένα άλλο ελάττωμα του Roundcube, μια ευπάθεια αποθηκευμένης δέσμης ενεργειών μεταξύ τοποθεσιών (XSS) που παρακολουθείται ως CVE-2023-5631, στοχεύτηκε ως μηδενική ημέρα από τη ρωσική ομάδα χάκερ Winter Vivern (γνωστή και ως TA473) τουλάχιστον από τις 11 Οκτωβρίου.
Οι εισβολείς χρησιμοποίησαν μηνύματα ηλεκτρονικού ταχυδρομείου HTML που περιείχαν προσεκτικά δημιουργημένα κακόβουλα έγγραφα SVG που είχαν σχεδιαστεί για να εισάγουν αυθαίρετο κώδικα
JavaScript
εξ αποστάσεως.
Το ωφέλιμο φορτίο JavaScript που έπεσε στις επιθέσεις του Οκτωβρίου επέτρεψε στους Ρώσους χάκερ να κλέψουν μηνύματα ηλεκτρονικού ταχυδρομείου από παραβιασμένους διακομιστές ηλεκτρονικού ταχυδρομείου Roundcube που ανήκαν σε κυβερνητικές οντότητες και δεξαμενές σκέψης στην Ευρώπη.
Οι χειριστές Winter Vivern εκμεταλλεύτηκαν επίσης την ευπάθεια CVE-2020-35730 Roundcube XSS μεταξύ Αυγούστου και Σεπτεμβρίου 2023.
Το ίδιο σφάλμα χρησιμοποιήθηκε από τη ρωσική ομάδα κυβερνοκατασκοπείας APT28, μέρος της Κεντρικής Διεύθυνσης Πληροφοριών του Γενικού Επιτελείου της Ρωσίας (GRU), για να παραβιάσει τους διακομιστές ηλεκτρονικού ταχυδρομείου Roundcube που ανήκουν στην ουκρανική κυβέρνηση.
Οι χάκερ του Winter Vivern εκμεταλλεύτηκαν επίσης την ευπάθεια Zimbra CVE-2022-27926 XSS στις αρχές του 2023 για να στοχεύσουν χώρες του ΝΑΤΟ και να κλέψουν μηνύματα ηλεκτρονικού ταχυδρομείου που ανήκουν σε κυβερνήσεις, αξιωματούχους και στρατιωτικό προσωπικό του ΝΑΤΟ.
VIA:
bleepingcomputer.com
