خانه » آسیب ‌پذیری XSS در وب میل Roundcube دردسر ساز شد!

آسیب ‌پذیری XSS در وب میل Roundcube دردسر ساز شد!

توسط Vulnerbyte
33 بازدید
آسیب ‌پذیری XSS - Roundcube Webmail - آسیب پذیری CVE-2024-37383 - گروه vulnerbyte - گروه والنربایت - vulnerbyte group

گروهی از هکرها در تلاش هستند تا از یک آسیب پذیری پچ ‌شده در نرم ‌افزار وب ‌میل Roundcube به عنوان بخشی از یک حمله فیشینگ برای سرقت اطلاعات کاربر سوء استفاده کنند.

Roundcube Webmail (وب ‌میل Roundcube) یک کلاینت ایمیل منبع باز می‌باشد که به زبان PHP نوشته شده است. عملکرد گسترده، اینترفیس کاربرپسند و دسترسی راحت به آن از طریق مرورگر موجب محبوبیت آن در بین سازمان‌های تجاری و دولتی در سراسر جهان شده است.

با این حال، این محبوبیت آن را به یک هدف جذاب برای هکرها نیز تبدیل کرده است. هکرها اکسپلویت‌ها را به ‌سرعت  پس از انتشار عمومی، با هدف سرقت داده‌های لاگین (نام کاربری و پسورد)، ایمیل‌های ارسالی و دریافتی و ارتباطات ایمیل شرکتی مورد سوء استفاده قرار میدهند.

کارشناسانِ اطلاعات تهدید مرکز تخصصی امنیت فناوری‌های مثبت یا Positive Technologies در سپتامبر 2024، ایمیلی را کشف کردند که به یک سازمان دولتی متعلق به یکی از کشورهای CIS (کشورهای مستقل مشترک ‌المنافع) ارسال شده بود.

Timestampها یا برچسب‌های زمانی نشان می‌دهند که ایمیل در ژوئن 2024 ارسال شده است. به نظر می‌رسد این ایمیل یک پیام بدون متن است و فقط دارای یک سند پیوست شده می‌باشد.

آسیب ‌پذیری XSS - Roundcube Webmail - آسیب پذیری CVE-2024-37383 - گروه vulnerbyte - گروه والنربایت - vulnerbyte group

جالب است که کلاینت ایمیل، فایل پیوست شده را نشان نمی‌دهد اما بدنه ایمیل حاوی تگ‌های متمایز با عبارت eval(atob(…)) است که کد جاوا اسکریپت را رمزگشایی و اجرا می‌کنند.

آسیب ‌پذیری XSS - Webmail - آسیب پذیری CVE-2024-37383 - گروه vulnerbyte - گروه والنربایت - vulnerbyte group

زنجیره حمله، تلاشی برای بهره‌برداری از CVE-2024-37383 (امتیاز CVSS: 6.1) است؛ یک آسیب ‌پذیری XSS  ذخیره شده از طریق ویژگی‌های متحرک SVG که امکان اجرای کد جاوا اسکریپت دلخواه را در مرورگر وب قربانی فراهم می‌آورد.

برای سوء استفاده از این آسیب پذیری، تنها کاری که مهاجمان باید انجام دهند این است که یک ایمیل مخرب را با استفاده از یک نسخه پایین‌تر از ۱.۵.۶ یا از ۱.۶ تا ۱.۶.۶ کلاینت Roundcube باز کنند. به عبارت دیگر، یک مهاجم از راه دور می‌تواند کد جاوا اسکریپت دلخواه را اجرا کند و به سادگی با فریب گیرنده ایمیل برای باز کردن یک پیام خاص، به اطلاعات حساس دست یابد.

این آسیب پذیری توسط محققان CrowdStrike کشف و در 19 می 2024 در نسخه‌های ۱.۵.۷ و ۱.۶.۷ پچ گردید.

هکرها با درج کد جاوا اسکریپت به عنوان مقدار »href«، می‌توانند هر زمان که یک کلاینت Roundcube، ایمیل مخربی را باز می‌کند، آن را در صفحه Roundcube اجرا نمایند.

کد اجرا شده در تابع eval، سند خالی Road map.docx را ذخیره می‌کند (که با استفاده از Base64 رمزگذاری شده است) و سپس سعی خواهد کرد با استفاده از افزونه ManageSieve، پیام‌هایی را از سرور ایمیل دریافت کند. گزیده‌ای از درخواست در شکل زیر آمده است:

آسیب ‌پذیری XSS - Roundcube Webmail - آسیب پذیری CVE-2024-37383 - گروه vulnerbyte - گروه والنربایت - vulnerbyte group

اکنون یک فرم ورود به سیستم در صفحه HTML به کاربر نمایش داده می‌شود تا قربانیان را برای ارائه داده‌های لاگین کلاینت Roundcube خود فریب دهد. در مرحله آخر، اطلاعات جمع آوری شده شامل نام کاربری و رمز عبور به یک سرور (libcdn[.]org) میزبانی شده در Cloudflare، ارسال می‌شود.

آسیب ‌پذیری XSS - Webmail - آسیب پذیری CVE-2024-37383 - گروه vulnerbyte - گروه والنربایت - vulnerbyte group

آسیب پذیری‌های وب میل Roundcube همیشه هدف مکرر هکرها بوده است. آخرین حمله از این دست، مرتبط با گروه Winter Vivern می‌باشد که از آسیب ‌پذیری XSS در Roundcube برای نفوذ به سازمان‌های دولتی در چندین کشور اروپایی سوء استفاده کرده بود.

اگرچه آسیب پذیری‌های قبلی کشف شده در Roundcube توسط چندین گروه سایبری مانند APT28، Winter Vivern و TAG-70 مورد سوء استفاده قرار گرفته است اما در حال حاضر مشخص نیست چه کسی یا چه گروهی پشت این حملات قرار دارند.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید