Table of Contents
Exploração de Vulnerabilidade no Roundcube: Um Caso de Ataque de Phishing
No cenário atual de cibersegurança, o monitoramento de ameaças se torna cada vez mais crítico. Em um evento recente, atores de ameaças desconhecidas foram observados tentando explorar uma vulnerabilidade corrigida no software de webmail open-source Roundcube, como parte de um ataque de phishing destinado a roubar credenciais de usuários.
Resumo do Incidente
A empresa russa de cibersegurança Positive Technologies relatou em sua análise que, no mês anterior, um e-mail foi enviado para uma organização governamental não especificada, localizada em um dos países da Comunidade de Estados Independentes (CIS). Vale ressaltar que a mensagem foi originalmente enviada em junho de 2024.
“O e-mail parecia ser uma mensagem sem texto, contendo apenas um documento anexado,” afirmou a Positive Technologies em sua análise publicada recentemente.
Detalhamento da Vulnerabilidade
A cadeia de ataques, conforme descrito pela Positive Technologies, é uma tentativa de explorar a CVE-2024-37383 (Pontuação CVSS: 6.1), uma vulnerabilidade de cross-site scripting armazenada (XSS) via atributos de SVG animate. Esta falha permite a execução de JavaScript arbitrário no contexto do navegador da vítima.
Em termos mais claros, um atacante remoto poderia carregar código JavaScript arbitrário e acessar informações sensíveis apenas enganando um destinatário de e-mail para abrir uma mensagem especialmente elaborada. Este problema foi posteriormente resolvido nas versões 1.5.7 e 1.6.7 em maio de 2024.
De acordo com a Positive Technologies, “Ao inserir código JavaScript como o valor do “href”, podemos executá-lo na página do Roundcube sempre que um cliente do Roundcube abre um e-mail malicioso.”
Execução do Ataque e Exfiltração de Dados
No caso específico, o payload JavaScript salva o anexo vazio do Microsoft Word (“Road map.docx”) e, em seguida, obtém mensagens do servidor de e-mail utilizando o plugin ManageSieve. Além disso, exibe um formulário de login na página HTML mostrada ao usuário, com a intenção de enganar as vítimas para que forneçam suas credenciais do Roundcube.
Na fase final, as informações capturadas de nome de usuário e senha são exfiltradas para um servidor remoto (“libcdn[.]org“) hospedado na Cloudflare.
Contexto das Ameaças
Atualmente, não se sabe quem está por trás da atividade de exploração, embora falhas anteriores descobertas no Roundcube tenham sido abusadas por diversos grupos de hackers, como APT28, Winter Vivern e TAG-70.
“Embora o webmail Roundcube possa não ser o cliente de e-mail mais amplamente utilizado, continua sendo um alvo para hackers devido ao seu uso predominante por agências governamentais,” afirmou a Positive Technologies. “Ataques a este software podem resultar em danos significativos, permitindo que cibercriminosos roubem informações sensíveis.”
#Roundcube, #Cibersegurança, #Phishing, #XSS, #Vulnerabilidade, #E-mail, #SegurançaDigital, #AtaquesCibernéticos, #PositiveTechnologies