Roundcube Webmail, почтовый клиент с открытым исходным кодом, написанный на PHP, является популярным выбором для доступа к почтовым аккаунтам через браузер без установки полноценных почтовых клиентов. Однако его широкое распространение также делает его главной мишенью для злоумышленников. В сентябре 2024 года специалисты Центра экспертной безопасности Positive Technologies обнаружили письмо, отправленное в государственное учреждение одной из стран СНГ. Письмо содержало вложенный документ, но почтовый клиент не отображал вложение. Письмо также содержало характерные теги, выполняющие JavaScript-код, что свидетельствует о попытке использования уязвимости CVE-2024-37383 в Roundcube Webmail.
Описание
Уязвимость CVE-2024-37383 представляет собой хранимую XSS-уязвимость (межсайтовый скриптинг), которая позволяет злоумышленникам выполнять JavaScript-код в контексте пользовательской страницы. Она была обнаружена исследователями CrowdStrike и исправлена коммитом в мае 2024 года. Уязвимость кроется в коде, который обрабатывает элементы SVG в разметке тела письма. Во время предварительной обработки элементы SVG с определенными атрибутами должны быть исключены, но недостаток в коде, сравнивающем имена атрибутов, позволяет некоторым конструкциям обойти фильтр. Добавив лишний пробел в имя атрибута «href», злоумышленник может выполнить свой JavaScript-код при открытии вредоносного письма в Roundcube.
Вредоносный JavaScript-код, выполняемый в эксплойте, направлен на сохранение пустого документа roadmap.docx и получение сообщений с почтового сервера с помощью плагина ManageSieve. Кроме того, на HTML-страницу, отображаемую пользователю, добавляется форма авторизации с полями для ввода логина и пароля. Злоумышленник, скорее всего, рассчитывает на автозаполнение или ручной ввод пользователем своих учетных данных для предполагаемой повторной авторизации. Полученные логин и пароль затем отправляются на сервер в домене libcdn.org, который был зарегистрирован 6 июня 2024 года, и разрешаются в инфраструктуре Cloudflare.
Пример этой атаки подчеркивает постоянную угрозу, с которой сталкиваются пользователи Roundcube Webmail, и необходимость своевременного обновления системы безопасности. Будучи широко распространенным почтовым клиентом, организации должны сохранять бдительность в отношении уязвимостей и следить за своевременным применением необходимых исправлений и обновлений. Кроме того, пользователям следует проявлять осторожность при открытии писем, особенно тех, которые содержат неожиданные вложения или имеют подозрительные характеристики.
Indicators of Compromise
Domains
- libcdn.org
- rcm.codes
