Hackers Exploit Roundcube Webmail XSS Vulnerability to Steal Login Credentials
2024/10/20 TheHackerNews — オープンソースの Web メールソフトウェア Roundcube の、すでに修正済みの脆弱性 CVE-2024-37383 を、正体不明の脅威アクターがフィッシング攻撃で悪用し、ユーザー認証情報の窃取を試行していることが確認された。ロシアのサイバーセキュリティ企業 Positive Technologies が 2024年9月に公表したのは、CIS (Commonwealth of Independent States) 加盟国のに所在する不特定の政府機関に対して、不審なメールが送信されたことである。特筆すべきは、そのメッセージが、2024年6月の時点で送信されていたことだ。
10月15日に公開した分析で Positive Technologies は、「その電子メールは、コンテンツとしてのテキストを持たない、ファイルが添付されただけのメッセージのように見えた。しかし、Roundcube メール・クライアントは、添付ファイルを表示できなかった。さらに言うと、メールの本文に取り込まれていたのは、JavaScript コードをデコードして実行する eval(atob(…) という記述と、特徴的な複数のタグである」と、説明している。
Positive Technologies によると、この攻撃チェーンは、Roundcube の蓄積型 XSS 脆弱性 CVE-2024-37383 (CVSS :6.1) を悪用しようとする試みである。この脆弱性の悪用に成功した攻撃者は、被害者の Web ブラウザのコンテキストで SVG animate 属性を介して、任意の JavaScript を実行することが可能になる。
言い換えるなら、リモートの攻撃者は、受信者に特別に細工したメッセージを開かせるだけで、任意の JavaScript コードを読み込ませ、機密情報への不正アクセスの可能性を得ることになる。この問題は、2024年5月にリリースされた、バージョン 1.5.7/1.6.7 で修正されている。
Positive Technologies は、「JavaScript コードを “href” の値として挿入することで、Roundcube クライアントが悪意のメールを開くたびに、それを Roundcube ページ上で実行できる」と指摘している。
その場合には、JavaScript ペイロードは、空の Microsoft Word 添付ファイル (Road map.docx) を保存し、その後に、ManageSieve プラグインを用いて、メールサーバからメッセージを取得する。また、ユーザーに表示される HTML ページにログイン・フォームを表示し、Roundcube の認証情報を提供させるよう、被害者であるユーザーを欺く。
最終的な段階では、取得されたユーザ名とパスワードの情報は、Cloudflare がホストするリモートサーバ (libcdn[.]org) へと送信される。
現時点では、この脆弱性の悪用を試みている脅威アクターは不明だが、これまでに発見された Roundcube の脆弱性は、APT28/Winter Vivern/TAG-70 などの複数のハッカー・グループにより悪用されてきた。
Positive Technologies は、「Roundcube 電子メール・クライアントは、最も広く利用されているものではないが、政府機関で広く使用されているため、それらの組織がハッカーの標的となっている。このソフトウェアへの攻撃により、サイバー犯罪者は機密情報の窃取を可能にするため、甚大な被害が生じる恐れがある」と締め括っている。
Roundcube Webmail の XSS 脆弱性 CVE-2024-37383 が、フィッシング攻撃で悪用されているとのことです。ご利用のチームは、ご注意ください。Roundcube に関連する直近の記事は、2024/08/05 の「Roundcube Webmail の XSS 脆弱性などが FIX:ただちにパッチを!」となっています。よろしければ、Roundcube で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.