Pesquisadores da Positive Technologies revelaram que hackers desconhecidos tiraram proveito de uma vulnerabilidade já corrigida no Roundcube Webmail para realizar um ataque de phishing visando roubar credenciais de usuários. Essa falha, identificada como CVE-2024-37383, possui um índice CVSS de 6.1.
Detalhes do ataque ao Roundcube Webmail
Em setembro de 2024, a equipe de pesquisa descobriu um e-mail enviado a uma organização governamental em um país da CIS, cuja análise revelou que a mensagem foi datada de junho de 2024. O conteúdo do e-mail estava em branco, apresentando apenas um documento anexo invisível no cliente de e-mail.
O corpo da mensagem continha marcas específicas com a instrução eval(atob(…)), que os atacantes utilizaram para decodificar e executar código JavaScript. Além disso, foi observado que o nome do atributo (attributeName=”href “) incluía um espaço extra, indicando que o e-mail era uma tentativa de explorar a vulnerabilidade CVE-2024-37383 no Roundcube Webmail.
Impacto da vulnerabilidade
A falha afeta as versões do Roundcube Webmail anteriores a 1.5.7 e 1.6.x antes de 1.6.7, permitindo que um atacante realize ataques XSS por meio de atributos de animação SVG. Essa vulnerabilidade foi corrigida nas versões 1.5.7 e 1.6.7, lançadas em maio de 2024.
Notícias Relacionadas
Os invasores poderiam explorar a falha convencendo a vítima a abrir um e-mail especialmente elaborado utilizando uma versão vulnerável do cliente Roundcube. “Quando um espaço extra é adicionado ao nome do atributo ‘href’, a sintaxe não será filtrada e aparecerá no documento final. Antes disso, será formatada como {nome do atributo} = {valor do atributo}”, afirma o relatório da Positive Technologies. “Ao inserir código JavaScript como o valor de ‘href’, conseguimos executá-lo na página do Roundcube sempre que um cliente do Roundcube abrir um e-mail malicioso.”
Executando o ataque
Os pesquisadores também publicaram um código de prova de conceito (PoC) para a vulnerabilidade. O código JavaScript utilizado na ação salvava um documento Word vazio (“Road map.docx”) e recuperava mensagens do servidor de e-mail através do plugin ManageSieve.
O ataque criava um formulário de login falso na interface do Roundcube, capturando as credenciais dos usuários e enviando-as para um servidor malicioso (libcdn.org), cujo domínio foi registrado em 2024.
Conclusão
“Vulnerabilidades no Roundcube Webmail têm sido um alvo frequente para cibercriminosos. O ataque mais recente estava ligado ao grupo Winter Vivern, que explorou a vulnerabilidade XSS no Roundcube para atacar organizações governamentais em vários países europeus. No entanto, com base nas informações disponíveis, o ataque descrito neste artigo não pode ser vinculado a atores conhecidos”, conclui o relatório. “Embora o Roundcube Webmail não seja o cliente de e-mail mais amplamente utilizado, continua sendo um alvo para hackers devido ao seu uso predominante por agências governamentais. Ataques a esse software podem resultar em danos significativos, permitindo que cibercriminosos roubem informações sensíveis.”
