هکرها از یک آسیبپذیری در نرمافزار وبمیل Roundcube بهرهبرداری کردهاند تا سازمانهای دولتی در منطقه کشورهای مستقل مشترکالمنافع (CIS) را هدف قرار دهند. CIS به عنوان جانشین اتحادیه شوروی سابق شناخته میشود.
یک حمله توسط شرکت امنیت سایبری روسی به نام Positive Technologies در سپتامبر کشف شد، اما محققان مشخص کردند که فعالیت عامل تهدید از ژوئن آغاز شده است.
Roundcube Webmail یک راهحل وبمیل مبتنی بر PHP و متنباز است که از پلاگینها برای گسترش قابلیتهای خود پشتیبانی میکند و مورد علاقه نهادهای تجاری و دولتی است.
هکر از یک آسیب پذیری XSS با شدت متوسط به نام CVE-2024-37383 سوءاستفاده کرده است. این آسیبپذیری اجازه میدهد که کد JavaScript مخرب بر روی صفحه Roundcube اجرا شود زمانی که یک ایمیل خاص طراحیشده باز میشود.
این مشکل به دلیل پردازش نادرست عناصر SVG (تصویر مقیاسپذیر) در ایمیل ایجاد میشود که بررسیهای نحوی را دور میزند و اجازه میدهد کد مخرب بر روی صفحه کاربر اجرا شود.
ایمیل خالی اطلاعات اعتباری را سرقت میکند.
شرکت Positive Technologies گزارش میدهد که حملات از ایمیلهایی با محتوای نامشهود و تنها یک پیوست .DOC استفاده کردهاند. با این حال، عامل تهدید یک Payload مخفی را در داخل کدی که مشتری (نرمافزار ایمیل) پردازش میکند، جاسازی کرده است، اما این کد در بدنه پیام نمایش داده نمیشود و بر اساس تگهای خاص، که در این مورد تگ «<animate>» است، عمل میکند.
کد مخرب بهگونهای طراحی شده که به شکل یک لینک (href) به نظر برسد و در واقع یک سند جعلی را دانلود میکند تا توجه قربانی را جلب کند و او را از خطر اصلی منحرف نماید.
کد مخرب علاوه بر دانلود سند جعلی، یک فرم ورود غیرمجاز را به صفحه وب اضافه میکند. این فرم میتواند اطلاعات ورود کاربر را جمعآوری کند و به عامل تهدید این امکان را میدهد که به حساب کاربری کاربر دسترسی پیدا کند.
کد مخرب یک فرم تأیید هویت ایجاد میکند که شامل فیلدهایی برای وارد کردن نام کاربری و رمز عبور کاربر است. این فرم در صفحهای که کاربر مشاهده میکند نمایش داده میشود تا اطلاعات ورود کاربر را جمعآوری کند.
بر اساس گفته محققان، عامل تهدید انتظار دارد که این دو فیلد بهصورت دستی یا خودکار پر شوند و به این ترتیب اطلاعات ورود حساب هدف را بهدست آورد.
اگر کاربر اطلاعات خود را در فرم تأیید هویت وارد کند، این اطلاعات به یک سرور خاص که به تازگی ثبت شده است، ارسال میشود و این سرور از خدمات میزبانی Cloudflare استفاده میکند.
هکرها نه تنها اطلاعات ورود را سرقت میکنند، بلکه از یک پلاگین خاص به نام ManageSieve نیز بهرهبرداری میکنند تا پیامها را از سرور ایمیل استخراج کنند و بهدست آورند.
Roundcube خود را امن کنید.
CVE-2024-37383 بر نسخههای Roundcube که نسخههای قبل از ۱٫۵٫۶ و همچنین نسخههای ۱٫۶ تا ۱٫۶٫۶ هستند تأثیر میگذارد، بنابراین به مدیران سیستم توصیه میشود که هر چه سریعتر بهروزرسانی کنند.
این آسیبپذیری با انتشار نسخههای Roundcube Webmail 1.5.7 و ۱٫۶٫۷ در تاریخ ۱۹ مه برطرف شد. آخرین نسخه موجود، که بهعنوان بهروزرسانی توصیهشده شناخته میشود، نسخه ۱٫۶٫۹ است که در تاریخ ۱ سپتامبر منتشر شده است.
هکرها به دنبال بهرهبرداری از آسیبپذیریهای موجود در Roundcube هستند، چرا که این نرمافزار توسط نهادها و سازمانهای مهم به کار میرود و به همین دلیل، مورد توجه و حمله قرار میگیرد.
اوایل امسال، CISA درباره هکرهایی که به هدف قرار دادن CVE-2023-43770، یک آسیبپذیری دیگر XSS در Roundcube، هشدار داد و به سازمانهای فدرال دو هفته زمان داد تا آن را تعمیر کنند.
در اکتبر ۲۰۲۳، هکرهای روسی که به نام ‘Winter Vivern’ شناخته میشوند، در حال بهرهبرداری از یک آسیبپذیری XSS صفر روزه در Roundcube بودند که بهعنوان CVE-2023-5631 ردیابی میشود، تا به نهادهای دولتی و اندیشکدهها در اروپا نفوذ کنند.
در ژوئن ۲۰۲۳، هکرهای GRU از گروه APT28 از چهار نقص Roundcube بهرهبرداری کردند تا اطلاعاتی را از سرورهای ایمیل استفادهشده توسط چندین سازمان در اوکراین، از جمله نهادهای دولتی، سرقت کنند.
