Vulnerabilità Catastrofiche in Roundcube: Rubati Email e Password con un Semplice Click
- News
- Visite: 1304
Le recenti vulnerabilità scoperte nel software di webmail Roundcube hanno messo in allarme la comunità della cybersecurity. Gli esperti hanno rivelato che queste falle possono essere sfruttate per eseguire JavaScript malevolo nel browser della vittima, permettendo ai malintenzionati di rubare informazioni sensibili dall'account della vittima, come email e password.
Secondo l'analisi pubblicata dalla società di sicurezza informatica Sonar, un attacco potrebbe essere scatenato semplicemente visualizzando un'email dannosa in Roundcube. Questo permetterebbe agli aggressori di eseguire codice JavaScript arbitrario nel browser della vittima, dando loro accesso a email, contatti e persino la possibilità di inviare email dall'account compromesso.
Le vulnerabilità sono state segnalate in modo responsabile il 18 giugno 2024 e sono state risolte nelle versioni 1.6.8 e 1.5.8 di Roundcube, rilasciate il 4 agosto 2024. Le falle identificate includono:
- CVE-2024-42008: una vulnerabilità di cross-site scripting tramite un allegato email malevolo con un'intestazione Content-Type pericolosa.
- CVE-2024-42009: una vulnerabilità di cross-site scripting che emerge dalla post-elaborazione di contenuti HTML sanificati.
- CVE-2024-42010: una falla di divulgazione di informazioni causata da un filtraggio CSS insufficiente.
Lo sfruttamento di queste vulnerabilità potrebbe consentire a un aggressore non autenticato di rubare email e contatti, nonché inviare email dall'account della vittima dopo che quest'ultima ha visualizzato un'email appositamente confezionata. Gli aggressori potrebbero ottenere una persistenza nel browser della vittima, permettendo loro di esfiltrare email in modo continuo o rubare la password al prossimo inserimento.
Per un attacco riuscito, non è necessaria alcuna interazione da parte dell'utente oltre alla visualizzazione dell'email malevola per sfruttare la vulnerabilità critica XSS (CVE-2024-42009). Per la CVE-2024-42008, è necessario un singolo click della vittima, ma l'aggressore può rendere questa interazione poco evidente per l'utente.
Ulteriori dettagli tecnici sulle vulnerabilità sono stati trattenuti per dare agli utenti il tempo di aggiornare il software alla versione più recente. Questo è particolarmente importante dato che falle nel software di webmail sono state ripetutamente sfruttate da attori statali come APT28, Winter Vivern e TAG-70.
Nel frattempo
è emersa una vulnerabilità di escalation dei privilegi locali di massima gravità nel progetto open-source RaspAP (CVE-2024-41637, punteggio CVSS: 10.0). Questa permette a un attaccante di elevare i propri privilegi a livello di root ed eseguire comandi critici. La vulnerabilità è stata risolta nella versione 3.1.5.