Winter Vivern: Zero-Day XSS Exploit Targets Roundcube Servers
2023/10/25 InfoSecurity — Roundcube Webmail サーバに存在するクロス・サイト・スクリプティング (XSS) ゼロデイ脆弱性 CVE-2023-5631 を、Winter Vivern グループが悪用して大規模な攻撃を行っている。10月25日 (水) に発表された ESET Research のアドバイザリには、この新たなキャンペーンの標的は、欧州の政府機関およびシンクタンクで利用される Roundcube Webmail サーバだと記されている。この脆弱性は 10月12日の時点で、ESET Research から Roundcube に報告された。この問題を認めた Roundcube チームは、短期間でパッチを適用し、10月16日にセキュリティアップデートをリリースした。
Winter Vivern は、ヨーロッパと中央アジアの政府を標的にするサイバー・スパイ・グループであり、遅くとも 2020年から活動している。このグループがターゲットに侵入する際に用いる手口は、悪意の文書/フィッシング/カスタム PowerShell バックドアなどである。ベラルーシと連携する、MoustachedBouncer との関連も疑われているという。
Winter Vivern が Roundcube サーバを標的とするのは、今回が初めてのことではなく、2022年には脆弱性 CVE-2020-35730 を悪用し、攻撃を行っていた。また、APT28 (Sednit) も、同じ脆弱性を狙っていたという。
今回の新たな攻撃で悪用された XSS の脆弱性 CVE-2023-5631 は、特別に細工された電子メール・メッセージの送信により、リモートからの悪用を可能にしてしまう。完全にパッチが適用された Roundcube インスタンスであっても、rcube_washtml.php のサーバ側スクリプトに欠陥があるため、この脆弱性を攻撃者は悪用している。
この悪意のメールを送信することで、攻撃者は任意の JavaScript コードを、被害者の Roundcube セッションに注入できる。その後に、メール・メッセージへのアクセスが可能になり、流出させることも可能になるという。Winter Vivern が Roundcube のゼロデイ脆弱性を悪用したことは、サイバー・スパイ活動の領域における懸念すべき進展であると、ESET は警告している。
ESET のアドバイザリには、「Winter Vivern は、Roundcube のゼロデイ脆弱性を悪用することで、その活動を強化している。これまでにも Winter Vivern は、Roundcube と Zimbra における既知の脆弱性を使用しており、その PoC エクスプロイトは、オンラインで入手可能であった」と記されている。
同社は、「このグループのツールセットの洗練度は低いが、ヨーロッパの政府にとっては脅威である。その理由は、定期的に実施される執拗なフィッシング・キャンペーンであり、また、インターネット接続されている大量のアプリケーションに脆弱性が存在していても、それらが定期的に更新されていない点にある」と述べている。
どの程度まで、日本で Roundcube Webmail が使われているのか判りませんが、お使いのチームは御用心ください。また、Winter Vivern ですが、Zimbra 関連の記事に登場していましたので、長期にわたり脅威として認識されているはずです。よろしければ、Zimbra で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.