Vulnerabilità Catastrofiche in Roundcube: Rubati Email e Password con un Semplice Click

News
Visite: 1278

Le recenti vulnerabilità scoperte nel software di webmail Roundcube hanno messo in allarme la comunità della cybersecurity. Gli esperti hanno rivelato che queste falle possono essere sfruttate per eseguire JavaScript malevolo nel browser della vittima, permettendo ai malintenzionati di rubare informazioni sensibili dall'account della vittima, come email e password.

Secondo l'analisi pubblicata dalla società di sicurezza informatica Sonar, un attacco potrebbe essere scatenato semplicemente visualizzando un'email dannosa in Roundcube. Questo permetterebbe agli aggressori di eseguire codice JavaScript arbitrario nel browser della vittima, dando loro accesso a email, contatti e persino la possibilità di inviare email dall'account compromesso.

Le vulnerabilità sono state segnalate in modo responsabile il 18 giugno 2024 e sono state risolte nelle versioni 1.6.8 e 1.5.8 di Roundcube, rilasciate il 4 agosto 2024. Le falle identificate includono:

  • CVE-2024-42008: una vulnerabilità di cross-site scripting tramite un allegato email malevolo con un'intestazione Content-Type pericolosa.
  • CVE-2024-42009: una vulnerabilità di cross-site scripting che emerge dalla post-elaborazione di contenuti HTML sanificati.
  • CVE-2024-42010: una falla di divulgazione di informazioni causata da un filtraggio CSS insufficiente.

Lo sfruttamento di queste vulnerabilità potrebbe consentire a un aggressore non autenticato di rubare email e contatti, nonché inviare email dall'account della vittima dopo che quest'ultima ha visualizzato un'email appositamente confezionata. Gli aggressori potrebbero ottenere una persistenza nel browser della vittima, permettendo loro di esfiltrare email in modo continuo o rubare la password al prossimo inserimento.

Per un attacco riuscito, non è necessaria alcuna interazione da parte dell'utente oltre alla visualizzazione dell'email malevola per sfruttare la vulnerabilità critica XSS (CVE-2024-42009). Per la CVE-2024-42008, è necessario un singolo click della vittima, ma l'aggressore può rendere questa interazione poco evidente per l'utente.

Ulteriori dettagli tecnici sulle vulnerabilità sono stati trattenuti per dare agli utenti il tempo di aggiornare il software alla versione più recente. Questo è particolarmente importante dato che falle nel software di webmail sono state ripetutamente sfruttate da attori statali come APT28, Winter Vivern e TAG-70.

Nel frattempo

è emersa una vulnerabilità di escalation dei privilegi locali di massima gravità nel progetto open-source RaspAP (CVE-2024-41637, punteggio CVSS: 10.0). Questa permette a un attaccante di elevare i propri privilegi a livello di root ed eseguire comandi critici. La vulnerabilità è stata risolta nella versione 3.1.5.

Pin It
, , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.