Roundcube Sotto Attacco: Hacker Rubano Credenziali con un'Email Invisibile

News
Visite: 552

Recenti attività malevole hanno evidenziato una vulnerabilità nella piattaforma di webmail open-source Roundcube, sfruttata da hacker per rubare credenziali di accesso attraverso un attacco di phishing. Positive Technologies, una società di cybersecurity russa, ha scoperto che un'email inviata a un'organizzazione governativa in un paese della Comunità degli Stati Indipendenti (CIS) celava un attacco sofisticato. L'email in questione, spedita originariamente nel giugno 2024, sembrava priva di testo e conteneva solo un documento allegato invisibile al client di posta elettronica. Tuttavia, il corpo del messaggio includeva tag distintivi con la funzione eval(atob(...)), utilizzata per decodificare ed eseguire codice JavaScript.

La vulnerabilità di tipo XSS

La vulnerabilità sfruttata, identificata come CVE-2024-37383, è una falla di tipo cross-site scripting (XSS) memorizzata, con un punteggio CVSS di 6.1. Questa falla utilizza attributi di animazione SVG per eseguire codice JavaScript arbitrario nel contesto del browser della vittima. In pratica, un attaccante remoto può caricare codice JavaScript malevolo semplicemente ingannando un destinatario a aprire un'email appositamente confezionata. Fortunatamente, il problema è stato risolto con le versioni 1.5.7 e 1.6.7 di Roundcube, rilasciate a maggio 2024.

Metodologia d'attacco

Gli hacker, sfruttando la vulnerabilità, possono inserire codice JavaScript come valore per "href", il quale viene eseguito quando un client Roundcube apre un'email malevola. Il payload JavaScript in questione salva l'allegato Word vuoto ("Road map.docx") e procede a ottenere messaggi dal server di posta utilizzando il plugin ManageSieve. Inoltre, viene mostrato un modulo di login per ingannare gli utenti nel fornire le loro credenziali Roundcube. Le informazioni rubate, come nome utente e password, vengono poi esfiltrate verso un server remoto ("libcdn[.]org") ospitato su Cloudflare.

Minacce e implicazioni

Non è ancora chiaro chi sia dietro queste attività di sfruttamento, anche se falle precedenti in Roundcube sono state sfruttate da vari gruppi di hacker come APT28, Winter Vivern e TAG-70. Nonostante Roundcube non sia il client di posta elettronica più diffuso, il suo uso prevalente da parte di agenzie governative lo rende un obiettivo attraente per gli hacker. Gli attacchi a questo software possono provocare gravi conseguenze, permettendo ai criminali informatici di rubare informazioni sensibili.

Pin It
, ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2024 Fata Informatica. Tutti i diritti riservati.