{"id":25893,"date":"2024-10-22T13:26:07","date_gmt":"2024-10-22T13:26:07","guid":{"rendered":"https:\/\/mailprovider.com\/hacker-benotzen-xss-schwaechtgkeet-am-roundcube-webmail-fir-anmeldedaten-ze-klauen\/"},"modified":"2024-10-31T16:46:46","modified_gmt":"2024-10-31T16:46:46","slug":"hacker-benotzen-xss-schwaechtgkeet-am-roundcube-webmail-fir-anmeldedaten-ze-klauen","status":"publish","type":"post","link":"https:\/\/mailprovider.com\/de\/hacker-benotzen-xss-schwaechtgkeet-am-roundcube-webmail-fir-anmeldedaten-ze-klauen\/","title":{"rendered":"Hacker benotzen XSS-Schw\u00e4chtgkeet am Roundcube Webmail, fir Anmeldedaten ze klauen."},"content":{"rendered":"\n
Bedrohungsakteuren goufen detekt\u00e9iert, w\u00e9i se prob\u00e9iert hunn, eng kuerzlich gepatcht S\u00e9cherheetsl\u00fcck am Open-Source Roundcube Webmail Software auszunutzen, als Deel vun enger Phishing-Kampagne, d\u00e9i op d’Klauen vun Benotzer-Login-Informatiounen ausgeriicht war.<\/p>\n\n
Laut der russescher Cybersecurity-Firma Positive Technologies gouf e E-Mail, deen eng net genannte gouvernemental Organisatioun an engem Land vun der Commonwealth vun onofh\u00e4ngege Staaten (CIS) zielt, am leschte Mount identifiz\u00e9iert. Bemierkensw\u00e4ert ass, datt d\u00ebse E-Mail urspr\u00e9nglech am Juni 2024 gesch\u00e9ckt gouf. <\/p>\n\n
D’Analyse vun Positive Technologies huet de E-Mail als scheinbar textfr\u00e4i beschriwwen, mat n\u00ebmmen engem Anhang, deen vum E-Mail-Client net ugewise gouf. Et huet spezifesch Tags enthalen, mat der Ausso eval(atob(...))<\/code>, d\u00e9i entworf gouf, fir JavaScript-Code ze dekod\u00e9ieren an auszeef\u00e9ieren. <\/p>\n\n
Cybersecurity Iwwerbl\u00e9ck <\/strong>D’Attack benotzt CVE-2024-37383 (CVSS Score: 6.1), eng gesp\u00e4ichert Cross-Site Scripting (XSS) Schw\u00e4chtgkeet, d\u00e9i mat SVG animate Attributer verbonnen ass, a vum Benotzer erlaabt, Zougank zu willk\u00fcrlechem JavaScript an der Webbrowser vum Opfer ausze\u00ebffnen. Wesentlech kann e remote Angreifer schiedlecht JavaScript ausf\u00e9ieren an op sensibel Daten zougr\u00e4ifen, andeems e den E-Mail-Empf\u00e4nger iwwerzeegt, eng speziell gestaltete Noriicht opmaacht. D\u00ebs Schw\u00e4chtgkeet gouf an den Versiounen 1.5.7 an 1.6.7 ab Mee 2024 adress\u00e9iert. <\/p>\n\n<\/figure>\n\n
Positive Technologies huet erkl\u00e4ert: “Duerch d’Inser\u00e9ieren vu JavaScript-Code als W\u00e4ert fir ‘href’ k\u00ebnne mir et op der Roundcube-S\u00e4it ausf\u00e9ieren, wann eng schiedlech E-Mail opgemaach g\u00ebtt.”<\/p>\n\n
An d\u00ebsem Fall sp\u00e4ichert de JavaScript-Payload en eidele Microsoft Word-Anhang mat dem Titel “Road map.docx” a recuper\u00e9iert duerno Noriichten vum Mailserver mat H\u00ebllef vum ManageSieve-Plugin. Et gener\u00e9iert och e Login-Formular op der ugewisen HTML-Seite, a versicht d’Benotzer ze t\u00e4uschen, fir hir Roundcube-Login-Informatiounen anzeginn. <\/p>\n\n
Cybersecurity Risiken <\/strong>Am leschten Phas vum Angriff ginn d’gefangene Benotzernimm a Passwierder un en remote Server gesch\u00e9ckt, deen op Cloudflare gehostert ass, identifiz\u00e9iert als “libcdn[.]org.”<\/p>\n\n
Obwuel d’Identit\u00e9it vun den Angreifer nach net s\u00e9cher ass, sinn virdrun Schw\u00e4chtgkeeten am Roundcube vun verschiddene Hacking-Gruppen, dor\u00ebnner APT28, Winter Vivern an TAG-70, ausgenotzt ginn.<\/p>\n\n
Positive Technologies huet bemierkt: “Och wann Roundcube Webmail net den am meeschte benotzte E-Mail-Client ass, ass et e Ziel fir Hacker w\u00e9inst senger allgemenger Notzung duerch Regierungsbehierden. D’Exploit\u00e9iere vun d\u00ebser Software kann zu wesentleche Schued f\u00e9ieren, wat et Cyberkriminellen erlaabt, sensibel Informatiounen ze klauen.”<\/p>\n\n
![\"\"](\"https:\/\/mailprovider.com\/wp-content\/uploads\/2024\/10\/poc.webp\" "\\"\\"")
<\/figure>\n\n