RoundCube XSS ranjivost

Otkrivena je serija phishing napada koja je ciljala korisnike IMAP klijenta RoundCube. Ovi napadi su bili posebno zlonamjerni, jer su sadržavali skrivene JavaScript zlonamjerne korisne terete dizajnirane da ukradu akreditive od RoundCube korisnika. Primljena elektronska pošta je izgledala prazna, ali je imala nevidljivi prilog dokumenta koji sadrži JavaScript koji je iskoristio ranjivost u RoundCube internet baziranom klijentu elektronske pošte.

RoundCube XSS ranjivost; Source: Bing Image Creator

ROUNDCUBE

RoundCube je aplikacija za elektronsku poštu zasnovana na pregledaču dizajnirana da pojednostavi upravljanje elektronskom poštom uz održavanje intuitivnog korisničkog interfejsa. RoundCube nudi korisnicima mogućnost da sa lakoćom čitaju, šalju i organizuju svoje elektronske poruke. Za razliku od nekih alternativa koje se mogu pohvaliti naprednim alatima za produktivnost, RoundCube se ističe u pružanju modernizovanog iskustva za one koji traže jednostavna rješenja. Ova jednostavnost ga čini idealnim izborom za pojedince koji preferiraju okruženje bez nereda kada upravljaju svojom elektronskom poštom.

RoundCube funkcionalnost je ukorenjena u njegovoj upotrebi CSS i XHTML za prikazivanje korisničkog okruženja. Ovo omogućava prilagođavanje, pri čemu korisnici mogu da personalizuju svoje iskustvo kroz različite dostupne skinove. RoundCube radi jednostavno; pristupa nalozima elektronske pošte preko internet pregledača. To znači da korisnici mogu da upravljaju svojom elektronskom poštom sa bilo kog uređaja sa internet vezom, što ga čini veoma pristupačnim i praktičnim. Besprijekorna integracija različitih biblioteka obezbjeđuje glatko korisničko iskustvo, bez obzira na složenost ili veličinu elektronskih poruka kojima se obrađuje.

XSS ranjivost

U junu 2024. godine cirkulisala je serija sofisticirane phishing elektronske pošte, dizajnirane da se infiltrira na RoundCube naloge. Ove naizgled bezazlene poruke elektronske pošte sadržavale su skrivene JavaScript korisne podatke koji su koristili postojeće ranjivosti CVE-2024-37383 (CVSS sa ocjenom 6.1) u sistemu RoundCube. Primarni cilj je bio da se ukradu korisnički akreditivi odvraćanjem pažnje žrtava obmanjujućim dokumentima i ubacivanjem lažnih obrazaca za prijavu u RoundCube korisničko okruženje.

Zlonamjerni akteri su pametno iskoristili ranjivost na napade međulokacijskog skriptovanja (eng. Cross-Site Scripting – XSS) u starijim RoundCube verzijama. Ova ranjivost im je omogućila da pošalju zlonamjerni kôd ugrađen u kôd elektronske pošte, koji bi kada bi se otvorio preuzimao obmanjujuće dokumente i ubacivao lažne obrasce za prijavu u RoundCube korisničko okruženje. Nesvjesni korisnici su zatim prevareni da unesu svoje akreditive, koji su naknadno poslati na zlonamjerni server registrovan 6. juna 2024. godine, uskladišten na Cloudflare infrastrukturi. Da stvar bude još gora, zlonamjerni akteri su takođe koristili dodatak ManageSieve za preuzimanje elektronske pošte sa kompromitovanih naloga, proširujući svoj domet i pojačavajući uticaj ovih napada.

Posljedice

U septembru 2024. godine, sigurnosni istraživači su otkrili da su zlonamjerni akteri uspješno iskoristili CVE-2024-37383 u phishing kampanji usmjerenoj na vladine organizacije u regionu Zajednice nezavisnih država (eng. Commonwealth of Independent States – CIS). Zlonamjerni akteri su slali elektronske poruke sa skrivenim JavaScript korisnim sadržajem posebno dizajniranim da ukradu akreditive od RoundCube korisnika. Ove elektronske poruke su izgledale prazne, sa nevidljivim prilogom dokumenta koji je sadržao zlonamjernu JavaScript skriptu base64 kôdiranu koja iskorištava CVE-2024-37383. Zlonamjerni akteri koji stoje iza ove kampanje bili su u mogućnosti da izvrše proizvoljan JavaScript kôd na RoundCube stranici svaki put kada bi korisnik otvorio posebno napravljenu elektronsku poštu koja sadrži skriveni korisni teret.

Da bi demonstrirali kako ova ranjivost može omogućiti napade međulokacijskog skriptovanja (XSS), sigurnosni istraživači su objavili dokaz eksploatacije (eng. Proof-of-Concept – PoC). Ovaj dokaz eksploatacije je pokazao da zlonamjerni akteri mogu da ugrade lažne obrasce za prijavu u RoundCube korisničko okruženje i prevare korisnike da unesu svoje akreditive, koji bi zatim bili ukradeni za neovlašteni pristup.

ZAKLJUČAK

Iskorištavanje CVE-2024-37383 ranjivosti u RoundCube sistemima internet pošte predstavlja značajnu prijetnju sajber bezbjednosti širom sveta. Ranjivost omogućava zlonamjernim akterima da zaobiđu sigurnosne filtere, izvrše proizvoljan kôd i ukradu akreditive za prijavu putem phishing kampanja. Da bi se spriječili ovi napadi, neophodno je da korisnici nadograde svoje RoundCube instalacije na najnovije ispravljene verzije i da budu na oprezu protiv potencijalnih prijetnji.

Kretanjem kroz digitalni pejzaž, postaje sve važnije da se daje prioritet mjerama sajber bezbjednosti kako bi se zaštitile osjetljive informacije od zlonamjernih aktera. Eksploatacija CVE-2024-37383 ranjivosti služi kao dobar podsjetnik da nijedan sistem nije imun na napade i da su budnost i proaktivne bezbjednosne mjere od suštinskog značaja za održavanje integriteta digitalnih ekosistema.

ZAŠTITA

Kako bi se zaštitila RoundCube instalacija i korisnici od potencijalnih prijetnji, savjet je da se usvoje sljedeće preporuke:

1. Uvjeriti se da je RoundCube instalacija ažurirana na najnoviju verziju (trenutno verzija 1.6.9), jer se bavi ranjivošću CVE-2024-37383 koja je iskorišćena u ovom napadu,
2. Redovno provjeravati da li postoje ažuriranja i odmah ih primjeniti kako bi se spriječilo iskorištavanje poznatih ranjivosti,
3. Podstaknuti korisnike da koriste jake, jedinstvene lozinke za svoje naloge kako bi zlonamjernim akterima otežali pristup napadima grube sile (eng. brute force attack) ili napade popunjavanja akreditiva (eng. credential stuffing),
4. Implementirati autentifikaciju u dva koraka (eng.two-factor authentication – 2FA) gdje god je to moguće da bi se dodao još jedan dodatni sloj bezbjednosti i poboljšala zaštita od neovlaštenog pristupa nalogu čak i ako je lozinka korisnika ugrožena,
5. Potrebno je biti oprezan sa sumnjivom elektronskom poštom, posebno onom koja sadrži priloge ili veze. Obučiti korisnike da prepoznaju phishing pokušaje i prijave IT odjeljenju svu sumnjivu elektronsku poštu,
6. Biti oprezan prilikom upotrebe dodataka kao što je ManageSieve, jer oni mogu pružiti dodatne ulazne tačke za napade. Instalirati samo neophodne dodatke iz pouzdanih izvora,
7. Skladištiti RoundCube instalaciju na bezbjednom serveru sa jakim bezbjednosnim mjerama, kao što su zaštitni zidovi i sistemi za otkrivanje upada. Koristite renomirane usluge skladištenja ako je moguće,
8. Redovno pratiti evidencije servera za bilo kakve neuobičajene aktivnosti ili znake napada. Ovo može pomoći se brzo otkrije napad i odgovori na njega,
9. Obezbijediti redovnu obuku o sajber bezbjednosti korisnicima kako bi se obrazovali o najnovijim prijetnjama, najboljim praksama za bezbjednost na mreži i kako da prepoznaju phishing pokušaje. Podsticati kulturu budnosti i prijavljivanja sumnjivih aktivnosti.