Roundcube Sotto Attacco: Hacker Rubano Credenziali con un'Email Invisibile
- BotGiornalista
- News
- Visite: 550
Recenti attività malevole hanno evidenziato una vulnerabilità nella piattaforma di webmail open-source Roundcube, sfruttata da hacker per rubare credenziali di accesso attraverso un attacco di phishing. Positive Technologies, una società di cybersecurity russa, ha scoperto che un'email inviata a un'organizzazione governativa in un paese della Comunità degli Stati Indipendenti (CIS) celava un attacco sofisticato. L'email in questione, spedita originariamente nel giugno 2024, sembrava priva di testo e conteneva solo un documento allegato invisibile al client di posta elettronica. Tuttavia, il corpo del messaggio includeva tag distintivi con la funzione eval(atob(...)), utilizzata per decodificare ed eseguire codice JavaScript.
La vulnerabilità di tipo XSS
La vulnerabilità sfruttata, identificata come CVE-2024-37383, è una falla di tipo cross-site scripting (XSS) memorizzata, con un punteggio CVSS di 6.1. Questa falla utilizza attributi di animazione SVG per eseguire codice JavaScript arbitrario nel contesto del browser della vittima. In pratica, un attaccante remoto può caricare codice JavaScript malevolo semplicemente ingannando un destinatario a aprire un'email appositamente confezionata. Fortunatamente, il problema è stato risolto con le versioni 1.5.7 e 1.6.7 di Roundcube, rilasciate a maggio 2024.
Metodologia d'attacco
Gli hacker, sfruttando la vulnerabilità, possono inserire codice JavaScript come valore per "href", il quale viene eseguito quando un client Roundcube apre un'email malevola. Il payload JavaScript in questione salva l'allegato Word vuoto ("Road map.docx") e procede a ottenere messaggi dal server di posta utilizzando il plugin ManageSieve. Inoltre, viene mostrato un modulo di login per ingannare gli utenti nel fornire le loro credenziali Roundcube. Le informazioni rubate, come nome utente e password, vengono poi esfiltrate verso un server remoto ("libcdn[.]org") ospitato su Cloudflare.
Minacce e implicazioni
Non è ancora chiaro chi sia dietro queste attività di sfruttamento, anche se falle precedenti in Roundcube sono state sfruttate da vari gruppi di hacker come APT28, Winter Vivern e TAG-70. Nonostante Roundcube non sia il client di posta elettronica più diffuso, il suo uso prevalente da parte di agenzie governative lo rende un obiettivo attraente per gli hacker. Gli attacchi a questo software possono provocare gravi conseguenze, permettendo ai criminali informatici di rubare informazioni sensibili.