Roundcube Webmail: случаен клик върху имейла отваря вратичка до вашите данни
Как разработчиците са позволили едновременното битие на три уязвимости в своя артикул?
Изследователи по въпросите на сигурността от SonarSource разкриха уязвимости в софтуера на електронната поща Roundcube, които при избрани условия могат да бъдат употребявани за осъществяване на злоумишлен JavaScript код в браузъра на жертвата и за кражба на поверителна информация от нейния акаунт.
Експертите оповестяват, че когато потребителят прегледа злонамерено електронно писмо в Roundcube, изпратено от атакуващ, имейл клиентът автоматизирано извършва зловредния JavaScript код в браузъра. Това дава опция на хакерите да крадат имейли, контакти и пароли за имейли и да изпращат имейли от името на жертвата.
След разкриването на уязвимостта на 18-ти юни 2024 година, тя беше отстранена във версиите 1.6.8 и 1.5.8 на Roundcube, оповестени на 4-ти август 2024 година
Списъкът с уязвимости включва:
CVE-2024-42008 – Уязвимост в от вида Crossite scripting посредством злоумишлен атачмънт с рисков Content-Type хедър; CVE-2024-42009 – Уязвимост в скриптовете на други уеб сайтове посредством следваща обработка на обработеното HTML съдържание; CVE-2024-42010 – накърнимост за откриване на информация заради незадоволителна дестилация на CSS.
Успешното потребление на тези уязвимости разрешава на неоторизирани нападатели да крадат имейли и контакти и да изпращат имейли от името на жертвата след обзор на особено основан имейл в Roundcube.
Изследователят в региона на осведомителната сигурност Оскар Зейно-Махмалат означи, че атакуващите могат да получат непрекъснат достъп до браузъра на потребителя даже след рестартиране, което им разрешава непрестанно да виждат имейлите, както и да откраднат паролата на жертвата при идващото ѝ въвеждане.
Успешната офанзива посредством потребление на уязвимостта CVE-2024-42009 не изисква никакво деяние от страна на потребителя, с изключение на проявление на имейла от страна на нападателя. На собствен ред уязвимостта CVE-2024-42008 изисква единствено един клик от страна на жертвата, само че хакерът може да направи това взаимоотношение невидимо.
Засега съзнателно не се оповестяват спомагателни механически детайлности, с цел да се даде време на потребителите да актуализират до най-новата версия. Уязвимостите в уеб пощата неведнъж са били употребявани от държавни хакери като APT28, Winter Vivern и TAG-70, тъй че отлагането на актуализирането в действителност не си заслужава.
