2. Explotación de Vulnerabilidad XSS en Roundcube Webmail permite Robo de Credenciales
Fecha de publicación: Mié, 13/11/2024 - 19:48

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

La vulnerabilidad CVE-2024-37383 con criticidad de 6.1 afecta a versiones anteriores a 1.5.7 y 1.6.x anteriores a 1.6.7 de Roundcube Webmail. Este fallo de seguridad permite la explotación de XSS (Cross-Site Scripting) a través de atributos animados SVG en correos electrónicos, lo cual posibilita la ejecución de código JavaScript malicioso en la página de Roundcube cuando el usuario abre un correo diseñado específicamente.

El ataque se lleva a cabo mediante correos electrónicos sin contenido visible que incluyen un archivo adjunto .DOC. La vulnerabilidad permite a los atacantes ocultar un código JavaScript en formato base64 en el valor “href” de los atributos SVG animados. Al abrir el correo, el script se ejecuta en el navegador del usuario, inyectando un formulario de inicio de sesión falso que solicita las credenciales de Roundcube. Los datos capturados son enviados a un servidor remoto, libcdn[.]org, registrado en Cloudflare.

Posibles riesgos:

  • Exfiltración de Credenciales: Los actores maliciosos pueden obtener las credenciales de acceso al correo electrónico de la víctima, comprometiendo la seguridad de información sensible.
  • Espionaje Cibernético: Esta vulnerabilidad ha sido utilizada en campañas dirigidas a entidades gubernamentales, permitiendo a grupos de hackers como APT28 y Winter Vivern explotar errores similares en Roundcube para operaciones de espionaje.
  • Persistencia de Ataque: A través del complemento ManageSieve, los atacantes pueden filtrar mensajes del servidor de correo, aumentando la efectividad de la extracción de información confidencial.

Recursos afectados

  • Versiones de Roundcube Webmail anteriores < 1.5.7 y 1.6.x anteriores a < 1.6.7.
  • Usuarios de Roundcube en organizaciones gubernamentales, especialmente en países de la Comunidad de Estados Independientes (CEI), que son el principal objetivo de esta vulnerabilidad.

Solución/Mitigación

  • Actualizar el Sistema: Es fundamental que las organizaciones actualicen Roundcube Webmail a la versión >= 1.5.7 o >=1.6.7 , ya que estas versiones contienen parches específicos que mitigan esta vulnerabilidad.
  • Monitoreo de Actividad Inusual: Se recomienda implementar sistemas de monitoreo para detectar intentos de acceso no autorizados y ataques de phishing que aprovechen esta vulnerabilidad.

Recomendaciones

  • Revisar configuraciones de seguridad: Verificar que los complementos y filtros de seguridad de Roundcube estén configurados adecuadamente para reducir el riesgo de explotación mediante XSS.
  • Implementar Autenticación Multifactor: Agregar una capa adicional de seguridad mediante autenticación multifactor (MFA) en las cuentas de correo web, especialmente para usuarios en roles sensibles.

Referencias