Злоумышленники пытались использовать ошибку в почтовом веб-клиенте Roundcube Webmail для получения доступа к переписке и данным
В сентябре 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center) в рамках исследования угроз обнаружили вредоносное письмо, получателем которого была одна из государственных организаций стран СНГ. С его помощью атакующие пытались проэксплуатировать уязвимость CVE-2024-37383 в почтовом клиенте Roundcube Webmail.
Данное письмо представляло собой сообщение без текста и содержало вложенный документ. При этом, почтовый клиент не отображал наличие вложения. Веб-клиент Roundcube Webmail с открытым исходным кодом популярен среди коммерческих и государственных компаний многих стран. Уязвимости Roundcube Webmail уже становились инструментомв в руках злоумышленников. Последней из таких атак была кампания, относящаяся к кластеру активности группировки Winter Vivern, которая через уязвимость в Roudcube атаковала государственные организации ряда европейских стран.
Уязвимость CVE-2024-37383 в почтовом клиенте Roundcube Webmail относится к самому опасному типу межсайтового скриптинга — XSS (наиболее разрушительный тип атаки). Недостаток позволяет выполнять JavaScript-код, который запустит атакующий в браузере пользователя. Для этого потенциальной жертве достаточно открыть вредоносное письмо в веб-клиенте Roundcube версии до 1.5.6 либо от 1.6 до 1.6.6. Уязвимость была обнаружена исследователями компании CrowdStrike и устранена разработчиками Roundcube, которые выпустили обновление безопасности от 19 мая 2024 года.
