Krytyczna podatność w oprogramowaniu Roundcube umożliwiająca kradzież poświadczeń
CSIRT CeZ informuje o wykryciu krytycznej podatności (CVE-2024-42009) w kliencie poczty webmail Roundcube, ocenionej na 9.3 w skali CVSS. Jest to podatność typu Cross-Site Scripting (XSS), która pozwala zdalnemu atakującemu na kradzież poświadczeń oraz wysyłanie e-maili w imieniu ofiary.
Czego dotyczy podatność?
- Krytyczna podatność CVE-2024-42009 dotyczy klienta poczty webmail Roundcube
- CVSS: 9,3 Critical
Jak działa podatność i jak jest wykorzystywana?
Opisywana luka XSS (Cross-Site Scripting) umożliwia zdalnemu atakującemu kradzież oraz wysyłanie wiadomości e-mail w imieniu ofiary poprzez specjalnie spreparowaną wiadomość. Wystarczy, aby użytkownik wyświetlił złośliwą wiadomość w Roundcube. Nie jest wymagane żadne dodatkowe działanie ze strony użytkownika. Kod JavaScript zostaje wykonywany w momencie odczytania maila. Zostało to zaobserwowane w atakach, które mają na celu kradzież poświadczeń. Podatność jest aktywnie wykorzystywana przez cyberprzestępców, a exploit jest publicznie dostępny.
Ustalenia wskazują, że istnieje duże prawdopodobieństwo, iż za atakami wykorzystującymi te podatność stoi grupa UNC1151. Grupa ta jest często powiązana z rządem Białorusi oraz z rosyjskimi służbami specjalnymi.
Podatne systemy
- Roundcube w wersjach do 1.5.7
- Roundcube w wersjach od 1.6.x do 1.6.7 (włącznie)
Zalecane działania
- Należy niezwłocznie zaktualizować Roundcube do wersji 1.5.8 lub 1.6.8, w których podatność została usunięta.
- Po aktualizacji zalecamy zmianę hasła do poczty oraz wyczyszczenie danych strony Roundcube w przeglądarce.
- Warto także rozważyć wdrożenie dodatkowych zabezpieczeń, takich jak Web Application Firewall (WAF) oraz edukację użytkowników w zakresie zagrożeń XSS.