Falhas no Roundcube Webmail permitem roubo de e-mails e senhas

Imagem com a logomarca do Roundcube

Pesquisadores de segurança cibernética divulgaram detalhes de falhas de segurança no software de webmail Roundcube. As falhas identificadas podem ser exploradas para executar JavaScript malicioso no navegador da vítima e roubar informações confidenciais de sua conta em circunstâncias específicas.

Falhas no Roundcube

De acordo com um relatório da empresa de segurança cibernética Sonar, “quando uma vítima visualiza um e-mail malicioso no Roundcube enviado por um invasor, o invasor pode executar JavaScript arbitrário no navegador da vítima”.

Os invasores podem explorar a vulnerabilidade para roubar e-mails, contatos e a senha de e-mail da vítima, além de enviar e-mails da conta da vítima.

Após divulgação responsável em 18 de junho de 2024, as três vulnerabilidades foram corrigidas nas versões 1.6.8 e 1.5.8 do Roundcube lançadas em 4 de agosto de 2024.

Imagem com a logomarca do Roundcube

As vulnerabilidades identificadas

  • CVE-2024-42008: Uma falha de script entre sites por meio de um anexo de e-mail malicioso servido com um cabeçalho Content-Type perigoso;
  • CVE-2024-42009: Uma falha de script entre sites que surge do pós-processamento de conteúdo HTML higienizado;
  • CVE-2024-42010: Uma falha de divulgação de informações que decorre de filtragem CSS insuficiente;

A exploração bem-sucedida das falhas mencionadas acima pode permitir que invasores não autenticados roubem e-mails e contatos, bem como enviem e-mails da conta da vítima, mas depois de visualizar um e-mail especialmente criado no Roundcube.

Os invasores podem obter uma posição persistente no navegador da vítima após reinicializações, permitindo que eles extraiam e-mails continuamente ou roubem a senha da vítima na próxima vez que ela for digitada.

Para um ataque bem-sucedido, nenhuma interação do usuário além de visualizar o e-mail do invasor é necessária para explorar a vulnerabilidade crítica do XSS (CVE-2024-42009). Para o CVE-2024-42008, um único clique da vítima é necessário para que a exploração funcione, mas o invasor pode tornar essa interação não óbvia para o usuário.

Pesquisador de segurança Oskar Zeino-Mahmalat

Detalhes técnicos adicionais sobre os problemas foram omitidos para dar tempo aos usuários de atualizarem para a versão mais recente, e tendo em vista que falhas no software de webmail foram repetidamente exploradas por agentes estatais como APT28, Winter Vivern e TAG-70.

As descobertas surgem à medida que detalhes surgiram sobre uma falha de escalonamento de privilégio local de gravidade máxima no projeto de código aberto RaspAP (CVE-2024-41637, pontuação CVSS: 10.0) que permite que um invasor eleve para root e execute vários comandos críticos. A vulnerabilidade foi corrigida na versão 3.1.5.

Via: The Hacker News