{"id":26513,"date":"2024-10-22T13:26:07","date_gmt":"2024-10-22T13:26:07","guid":{"rendered":"https:\/\/mailprovider.com\/hackers-maken-gebruik-van-xss-kwetsbaarheid-in-roundcube-webmail-om-inloggegevens-te-verzamelen\/"},"modified":"2024-11-09T18:45:37","modified_gmt":"2024-11-09T18:45:37","slug":"hackers-maken-gebruik-van-xss-kwetsbaarheid-in-roundcube-webmail-om-inloggegevens-te-verzamelen","status":"publish","type":"post","link":"https:\/\/mailprovider.com\/nl\/hackers-maken-gebruik-van-xss-kwetsbaarheid-in-roundcube-webmail-om-inloggegevens-te-verzamelen\/","title":{"rendered":"Hackers maken gebruik van XSS-kwetsbaarheid in Roundcube-webmail om inloggegevens te verzamelen"},"content":{"rendered":"\n
Er zijn bedreigingsactoren gedetecteerd die proberen misbruik te maken van een onlangs gepatcht beveiligingslek in de open-source Roundcube-webmailsoftware, als onderdeel van een phishing-campagne gericht op het stelen van gebruikersgegevens.<\/p>\n\n
Volgens het Russische cyberbeveiligingsbedrijf Positive Technologies werd vorige maand een e-mail ge\u00efdentificeerd die gericht was op een niet nader genoemde overheidsorganisatie in een land van het Gemenebest van Onafhankelijke Staten (GOS). Met name deze e-mail werd aanvankelijk in juni 2024 verzonden. <\/p>\n\n
De analyse die door Positive Technologies werd vrijgegeven, beschreef de e-mail als schijnbaar verstoken van tekst, met alleen een bijlage die de e-mailclient niet weergaf. Het bevatte onderscheidende tags met de instructie eval(atob(...))<\/code>, die is ontworpen om JavaScript-code te decoderen en uit te voeren. <\/p>\n\n
Overzicht van Cybersecurity <\/strong>De aanval maakt gebruik van CVE-2024-37383 (CVSS-score: 6,1), een opgeslagen cross-site scripting (XSS)-kwetsbaarheid die is gekoppeld aan SVG-animate-attributen, waardoor willekeurige JavaScript-uitvoering in de webbrowser van het slachtoffer mogelijk is. In wezen kan een aanvaller op afstand kwaadaardige JavaScript-code uitvoeren en toegang krijgen tot gevoelige gegevens door de e-mailontvanger te overtuigen een speciaal vervaardigd bericht te openen. Deze kwetsbaarheid is vanaf mei 2024 verholpen in versies 1.5.7 en 1.6.7. <\/p>\n\n<\/figure>\n\n
Positive Technologies legt uit: “Door JavaScript-code in te voegen als de waarde voor ‘href’, kunnen we deze op de Roundcube-pagina uitvoeren wanneer een kwaadaardige e-mail wordt geopend.”<\/p>\n\n
In dit geval slaat de JavaScript-payload een lege Microsoft Word-bijlage met de titel ‘Road map.docx’ op en haalt vervolgens berichten op van de e-mailserver met behulp van de ManageSieve-plug-in. Het genereert ook een inlogformulier op de weergegeven HTML-pagina, in een poging gebruikers te misleiden om hun Roundcube-inloggegevens in te voeren. <\/p>\n\n
Cybersecurity Risico’s<\/strong>In de laatste fase van de aanval worden de buitgemaakte gebruikersnamen en wachtwoorden verzonden naar een externe server die wordt gehost op Cloudflare, ge\u00efdentificeerd als “libcdn [.]org.”<\/p>\n\n
Hoewel de identiteit van de aanvallers onzeker blijft, zijn eerdere kwetsbaarheden in Roundcube uitgebuit door verschillende hackgroepen, waaronder APT28, Winter Vivern en TAG-70.<\/p>\n\n
Positive Technologies merkte op: “Hoewel Roundcube-webmail niet de meest gebruikte e-mailclient is, is het een doelwit voor hackers vanwege het veelgebruikte door overheidsinstanties. Misbruik van deze software kan leiden tot aanzienlijke schade, waardoor cybercriminelen gevoelige informatie kunnen stelen.”<\/p>\n\n
![\"\"](\"https:\/\/mailprovider.com\/wp-content\/uploads\/2024\/10\/poc.webp\" "\\"\\"")
<\/figure>\n\n