{"id":7347,"date":"2024-10-31T23:09:33","date_gmt":"2024-10-31T22:09:33","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=7347"},"modified":"2024-10-31T23:09:33","modified_gmt":"2024-10-31T22:09:33","slug":"roundcube-xss-ranjivost","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2024\/10\/31\/roundcube-xss-ranjivost\/","title":{"rendered":"RoundCube XSS ranjivost"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\">Otkrivena je <a href=\"https:\/\/global.ptsecurity.com\/analytics\/pt-esc-threat-intelligence\/fake-attachment-roundcube-mail-server-attacks-exploit-cve-2024-37383-vulnerability\" target=\"_blank\" rel=\"noopener\">serija phishing napada koja je ciljala korisnike <em>IMAP<\/em> klijenta <em>RoundCube<\/em><\/a>. Ovi napadi su bili posebno zlonamjerni, jer su sadr\u017eavali skrivene <em>JavaScript<\/em> zlonamjerne <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">korisne terete<\/a> dizajnirane da ukradu akreditive od <em>RoundCube<\/em> korisnika. Primljena elektronska po\u0161ta je izgledala prazna, ali je imala nevidljivi prilog dokumenta koji sadr\u017ei <em>JavaScript<\/em> koji je iskoristio ranjivost u <em>RoundCube <\/em>internet baziranom klijentu elektronske po\u0161te.<\/span><\/p>\n<div id=\"attachment_7348\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-7348\" class=\"size-full wp-image-7348\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail.jpg\" alt=\"Roundcube\" width=\"1024\" height=\"1024\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail-300x300.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail-150x150.jpg 150w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail-768x768.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail-12x12.jpg 12w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail-80x80.jpg 80w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2024\/10\/Roundcube-Webmail-320x320.jpg 320w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-7348\" class=\"wp-caption-text\"><em>RoundCube XSS ranjivost; Source: Bing Image Creator<\/em><\/p><\/div>\n<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_82 counter-hierarchy ez-toc-counter ez-toc-custom ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">Sadr\u017eaj<\/p>\n<span class=\"ez-toc-title-toggle\"><a href=\"#\" class=\"ez-toc-pull-right ez-toc-btn ez-toc-btn-xs ez-toc-btn-default ez-toc-toggle\" aria-label=\"Toggle Table of Content\"><span class=\"ez-toc-js-icon-con\"><span class=\"\"><span class=\"eztoc-hide\" style=\"display:none;\">Toggle<\/span><span class=\"ez-toc-icon-toggle-span\"><svg style=\"fill: #ffffff;color:#ffffff\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" class=\"list-377408\" width=\"20px\" height=\"20px\" viewbox=\"0 0 24 24\" fill=\"none\"><path d=\"M6 6H4v2h2V6zm14 0H8v2h12V6zM4 11h2v2H4v-2zm16 0H8v2h12v-2zM4 16h2v2H4v-2zm16 0H8v2h12v-2z\" fill=\"currentColor\"><\/path><\/svg><svg style=\"fill: #ffffff;color:#ffffff\" class=\"arrow-unsorted-368013\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" width=\"10px\" height=\"10px\" viewbox=\"0 0 24 24\" version=\"1.2\" baseprofile=\"tiny\"><path d=\"M18.2 9.3l-6.2-6.3-6.2 6.3c-.2.2-.3.4-.3.7s.1.5.3.7c.2.2.4.3.7.3h11c.3 0 .5-.1.7-.3.2-.2.3-.5.3-.7s-.1-.5-.3-.7zM5.8 14.7l6.2 6.3 6.2-6.3c.2-.2.3-.5.3-.7s-.1-.5-.3-.7c-.2-.2-.4-.3-.7-.3h-11c-.3 0-.5.1-.7.3-.2.2-.3.5-.3.7s.1.5.3.7z\"\/><\/svg><\/span><\/span><\/span><\/a><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1' ><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/31\/roundcube-xss-ranjivost\/#ROUNDCUBE\">ROUNDCUBE<\/a><ul class='ez-toc-list-level-3' ><li class='ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/31\/roundcube-xss-ranjivost\/#XSS_ranjivost\">XSS ranjivost<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-3'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/31\/roundcube-xss-ranjivost\/#Posljedice\">Posljedice<\/a><\/li><\/ul><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/31\/roundcube-xss-ranjivost\/#ZAKLJUCAK\">ZAKLJU\u010cAK<\/a><\/li><li class='ez-toc-page-1 ez-toc-heading-level-2'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/sajberinfo.com\/en\/2024\/10\/31\/roundcube-xss-ranjivost\/#ZASTITA\">ZA\u0160TITA<\/a><\/li><\/ul><\/nav><\/div>\n\n<h2><span class=\"ez-toc-section\" id=\"ROUNDCUBE\"><\/span><strong><em>ROUNDCUBE<\/em><\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\"><em>RoundCube<\/em> je aplikacija za elektronsku po\u0161tu zasnovana na pregleda\u010du dizajnirana da pojednostavi upravljanje elektronskom po\u0161tom uz odr\u017eavanje intuitivnog korisni\u010dkog interfejsa. <em>RoundCube<\/em> nudi korisnicima mogu\u0107nost da sa lako\u0107om \u010ditaju, \u0161alju i organizuju svoje elektronske poruke. Za razliku od nekih alternativa koje se mogu pohvaliti naprednim alatima za produktivnost, <em>RoundCube<\/em> se isti\u010de u pru\u017eanju modernizovanog iskustva za one koji tra\u017ee jednostavna rje\u0161enja. Ova jednostavnost ga \u010dini idealnim izborom za pojedince koji preferiraju okru\u017eenje bez nereda kada upravljaju svojom elektronskom po\u0161tom.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>RoundCube <\/em>funkcionalnost je ukorenjena u njegovoj upotrebi <em>CSS<\/em> i <em>XHTML<\/em> za prikazivanje korisni\u010dkog okru\u017eenja. Ovo omogu\u0107ava prilago\u0111avanje, pri \u010demu korisnici mogu da personalizuju svoje iskustvo kroz razli\u010dite dostupne skinove. <em>RoundCube <\/em>radi jednostavno; pristupa nalozima elektronske po\u0161te preko internet pregleda\u010da. To zna\u010di da korisnici mogu da upravljaju svojom elektronskom po\u0161tom sa bilo kog ure\u0111aja sa internet vezom, \u0161to ga \u010dini veoma pristupa\u010dnim i prakti\u010dnim. Besprijekorna integracija razli\u010ditih biblioteka obezbje\u0111uje glatko korisni\u010dko iskustvo, bez obzira na slo\u017eenost ili veli\u010dinu elektronskih poruka kojima se obra\u0111uje.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"XSS_ranjivost\"><\/span><strong><em>XSS<\/em> ranjivost<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U junu 2024. godine cirkulisala je serija sofisticirane <a href=\"https:\/\/sajberinfo.com\/en\/2022\/01\/02\/phishing-meta-su-ljudi-ne-tehnologija\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>elektronske po\u0161te, dizajnirane da se infiltrira na <em>RoundCube<\/em> naloge. Ove naizgled bezazlene poruke elektronske po\u0161te sadr\u017eavale su skrivene <em>JavaScript<\/em> korisne podatke koji su koristili postojec\u0301e ranjivosti <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2024-37383\" target=\"_blank\" rel=\"noopener\"><em>CVE-2024-37383<\/em><\/a> (<em>CVSS<\/em> sa ocjenom <em>6.1<\/em>) u sistemu <em>RoundCube<\/em>. Primarni cilj je bio da se ukradu korisni\u010dki akreditivi odvra\u0107anjem pa\u017enje \u017ertava obmanjujuc\u0301im dokumentima i ubacivanjem la\u017enih obrazaca za prijavu u <em>RoundCube <\/em>korisni\u010dko okru\u017eenje.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/19\/hakeri-crni-sesiri-epizoda-3\/\" target=\"_blank\" rel=\"nofollow noopener\">Zlonamjerni akteri<\/a> su pametno iskoristili ranjivost na napade me\u0111ulokacijskog skriptovanja (eng. <em>Cross-Site Scripting \u2013 XSS<\/em>) u starijim <em>RoundCube <\/em>verzijama. Ova ranjivost im je omogu\u0107ila da po\u0161alju zlonamjerni k\u00f4d ugra\u0111en u k\u00f4d elektronske po\u0161te, koji bi kada bi se otvorio preuzimao obmanjujuc\u0301e dokumente i ubacivao la\u017ene obrasce za prijavu u <em>RoundCube <\/em>korisni\u010dko okru\u017eenje. Nesvjesni korisnici su zatim prevareni da unesu svoje akreditive, koji su naknadno poslati na zlonamjerni server registrovan 6. juna 2024. godine, uskladi\u0161ten na <em>Cloudflare<\/em> infrastrukturi. Da stvar bude jo\u0161 gora, zlonamjerni akteri su tako\u0111e koristili dodatak <em>ManageSieve<\/em> za preuzimanje elektronske po\u0161te sa kompromitovanih naloga, pro\u0161iruju\u0107i svoj domet i poja\u010davaju\u0107i uticaj ovih napada.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h3><span class=\"ez-toc-section\" id=\"Posljedice\"><\/span><strong>Posljedice<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h3>\n<p><span style=\"font-size: 14pt;\">U septembru 2024. godine, sigurnosni istra\u017eiva\u010di su otkrili da su zlonamjerni akteri uspje\u0161no iskoristili <em>CVE-2024-37383<\/em> u <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/23\/phishing\/\" target=\"_blank\" rel=\"nofollow noopener\"><em>phishing<\/em> <\/a>kampanji usmjerenoj na vladine organizacije u regionu Zajednice nezavisnih dr\u017eava (eng. <em>Commonwealth of Independent States \u2013 CIS<\/em>). Zlonamjerni akteri su slali elektronske poruke sa skrivenim <em>JavaScript<\/em> korisnim sadr\u017eajem posebno dizajniranim da ukradu akreditive od <em>RoundCube <\/em>korisnika. Ove elektronske poruke su izgledale prazne, sa nevidljivim prilogom dokumenta koji je sadr\u017eao zlonamjernu <em>JavaScript<\/em> skriptu <em>base64<\/em> k\u00f4diranu koja iskori\u0161tava <em>CVE-2024-37383<\/em>. <\/span><span style=\"font-size: 14pt;\">Zlonamjerni akteri koji stoje iza ove kampanje bili su u mogu\u0107nosti da izvr\u0161e proizvoljan <em>JavaScript<\/em> k\u00f4d na <em>RoundCube <\/em>stranici svaki put kada bi korisnik otvorio posebno napravljenu elektronsku po\u0161tu koja sadr\u017ei skriveni korisni teret.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Da bi demonstrirali kako ova ranjivost mo\u017ee omogu\u0107iti napade me\u0111ulokacijskog skriptovanja (<em>XSS<\/em>), <a href=\"https:\/\/sajberinfo.com\/en\/2022\/02\/27\/hakeri-eticki-hakeri-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">sigurnosni istra\u017eiva\u010di<\/a> su objavili dokaz eksploatacije (eng. <em>Proof-of-Concept \u2013 PoC<\/em>). Ovaj dokaz eksploatacije je pokazao da zlonamjerni akteri mogu da ugrade la\u017ene obrasce za prijavu u <em>RoundCube <\/em>korisni\u010dko okru\u017eenje i prevare korisnike da unesu svoje akreditive, koji bi zatim bili ukradeni za neovla\u0161teni pristup.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZAKLJUCAK\"><\/span><strong>ZAKLJU\u010cAK<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Iskori\u0161tavanje <em>CVE-2024-37383 <\/em>ranjivosti u <em>RoundCube <\/em>sistemima internet po\u0161te predstavlja zna\u010dajnu prijetnju <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> \u0161irom sveta. Ranjivost omogu\u0107ava zlonamjernim akterima da zaobi\u0111u sigurnosne filtere, izvr\u0161e proizvoljan k\u00f4d i ukradu akreditive za prijavu putem <em>phishing<\/em> kampanja. Da bi se sprije\u010dili ovi napadi, neophodno je da korisnici nadograde svoje <em>RoundCube<\/em> instalacije na najnovije ispravljene verzije i da budu na oprezu protiv potencijalnih prijetnji.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kretanjem kroz digitalni pejza\u017e, postaje sve va\u017enije da se daje prioritet mjerama sajber bezbjednosti kako bi se za\u0161titile osjetljive informacije od zlonamjernih aktera. Eksploatacija <em>CVE-2024-37383 <\/em>ranjivosti slu\u017ei kao dobar podsjetnik da nijedan sistem nije imun na napade i da su budnost i proaktivne bezbjednosne mjere od su\u0161tinskog zna\u010daja za odr\u017eavanje integriteta digitalnih ekosistema.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h2><span class=\"ez-toc-section\" id=\"ZASTITA\"><\/span><strong>ZA\u0160TITA<\/strong><span class=\"ez-toc-section-end\"><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kako bi se za\u0161titila <em>RoundCube<\/em> instalacija i korisnici od potencijalnih prijetnji, savjet je da se usvoje sljede\u0107e preporuke:<\/span><\/p>\n<ol>\n<li><span style=\"font-size: 14pt;\">Uvjeriti se da je <em>RoundCube<\/em> instalacija a\u017eurirana na najnoviju verziju (trenutno verzija <em>1.6.9<\/em>), jer se bavi ranjivo\u0161\u0107u <em>CVE-2024-37383<\/em> koja je iskori\u0161\u0107ena u ovom napadu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno provjeravati da li postoje a\u017euriranja i odmah ih primjeniti kako bi se sprije\u010dilo iskori\u0161tavanje poznatih ranjivosti,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Podstaknuti korisnike da koriste jake, jedinstvene <a href=\"https:\/\/sajberinfo.com\/en\/2019\/02\/24\/lozinka-password-sifra\/\" target=\"_blank\" rel=\"nofollow noopener\">lozinke<\/a> za svoje naloge kako bi zlonamjernim akterima ote\u017eali pristup <a href=\"https:\/\/sajberinfo.com\/en\/2023\/09\/07\/brute-force-attack\/\" target=\"_blank\" rel=\"nofollow noopener\">napadima grube sile<\/a> (eng. <em>brute force attack<\/em>) ili napade popunjavanja akreditiva (eng. <em>credential stuffing<\/em>),<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Implementirati autentifikaciju u dva koraka (eng.<em>two-factor authentication \u2013 2FA<\/em>) gdje god je to moguc\u0301e da bi se dodao jo\u0161 jedan dodatni sloj bezbjednosti i pobolj\u0161ala za\u0161tita od neovla\u0161tenog pristupa nalogu \u010dak i ako je lozinka korisnika ugro\u017eena,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Potrebno je biti oprezan sa sumnjivom elektronskom po\u0161tom, posebno onom koja sadr\u017ei priloge ili veze. Obu\u010diti korisnike da prepoznaju <em>phishing<\/em> poku\u0161aje i prijave <em>IT<\/em> odjeljenju svu sumnjivu elektronsku po\u0161tu,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Biti oprezan prilikom upotrebe dodataka kao \u0161to je <em>ManageSieve<\/em>, jer oni mogu pru\u017eiti dodatne ulazne ta\u010dke za napade. Instalirati samo neophodne dodatke iz pouzdanih izvora,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Skladi\u0161titi <em>RoundCube<\/em> instalaciju na bezbjednom serveru sa jakim bezbjednosnim mjerama, kao \u0161to su za\u0161titni zidovi i sistemi za otkrivanje upada. Koristite renomirane usluge skladi\u0161tenja ako je moguc\u0301e,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Redovno pratiti evidencije servera za bilo kakve neuobi\u010dajene aktivnosti ili znake napada. Ovo mo\u017ee pomo\u0107i se brzo otkrije napad i odgovori na njega,<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Obezbijediti redovnu obuku o sajber bezbjednosti korisnicima kako bi se obrazovali o najnovijim prijetnjama, najboljim praksama za bezbjednost na mre\u017ei i kako da prepoznaju <em>phishing<\/em> poku\u0161aje. Podsticati kulturu budnosti i prijavljivanja sumnjivih aktivnosti.<\/span><\/li>\n<\/ol>","protected":false},"excerpt":{"rendered":"<p>Otkrivena je serija phishing napada koja je ciljala korisnike IMAP klijenta RoundCube. Ovi napadi su bili posebno zlonamjerni, jer su sadr\u017eavali skrivene JavaScript zlonamjerne korisne terete dizajnirane da ukradu akreditive od RoundCube korisnika. Primljena&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":7348,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[2015,2305,2306,2304,2308,2309,2307,2303,2310],"class_list":["post-7347","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-credential-theft","tag-cross-site-scripting-xss","tag-cve-2024-37383","tag-email-client-security","tag-email-compromise","tag-fake-login-form","tag-java-script-payload","tag-roundcube-security","tag-roundcube-upgrade"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7347","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=7347"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/7347\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/7348"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=7347"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=7347"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=7347"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}