Bilgisayar korsanları genellikle sıfır gün güvenlik açıklarını tercih ediyor çünkü bunlar kamuya açık değil ve savunucuların bu güvenlik açıklarına yama yapması veya bunlara karşı koruma sağlaması daha zor oluyor.
Bu, bilgisayar korsanlarına bir kusuru keşfedilip düzeltilmeden önce kullanarak avantaj sağlar ve başarılı bir saldırı olasılığını artırır.
ESET’teki siber güvenlik araştırmacıları, 11 Ekim 2023’te Roundcube Webmail’deki yeni bir sıfır gün XSS güvenlik açığından yararlanmaya başlayan “Winter Vivern”i aktif olarak izliyor.
Ancak bunun yanı sıra bu istismar, önceki CVE-2020-35730 istismarından ayırt edilebilir. Kampanya, Avrupalı devlet kurumlarını ve bir düşünce kuruluşunun Roundcube Webmail sunucularını hedef alıyordu.
Güvenlik Açığı Açıklama Zaman Çizelgesi
Aşağıda, güvenlik açığı açıklama zaman çizelgesinin tamamından bahsettik: –
- 2023-10-12: ESET Research, güvenlik açığını Roundcube ekibine bildirdi.
- 2023-10-14: Roundcube ekibi yanıt verdi ve güvenlik açığını kabul etti.
- 2023-10-14: Roundcube ekibi güvenlik açığını kapattı.
- 2023-10-16: Roundcube ekibi, güvenlik açığını gidermek için güvenlik güncellemeleri yayınladı (1.6.4, 1.5.5 ve 1.4.15).
- 2023-10-18: ESET CNA, güvenlik açığı için bir CVE yayınladı (CVE-2023-5631).
- 2023-10-25: ESET Araştırma analizi yayınlandı.
Roundcube Sıfır Gün Kusuru
XSS güvenlik açığından (CVE-2023-5631), Team.managment@outlook adresinden gönderilen özel hazırlanmış e-posta mesajları aracılığıyla yararlanılmaktadır.[.]com konusuyla “Outlook’unuzu kullanmaya başlayın.”
Başlangıçta e-postanın tamamı okunaklı görünse de e-posta, SVG etiketi içinde base64 kodlu bir veriyi gizliyor. Bu yükün href özelliğinde kodunun çözülmesi, temel kodu ortaya çıkarır: –
Geçersiz URL, hata özelliğini tetikleyerek Roundcube oturumu sırasında kurbanın tarayıcısında JavaScript kodunun yürütülmesine yol açar.
Roundcube’un rcube_washtml.php betiğini etkileyen sıfır gün XSS güvenlik açığı araştırmacılar tarafından keşfedildi ve rapor edildi.
14 Ekim 2023’te başarıyla yama uygulandı ve Roundcube sürümlerini etkiliyor: –
- 1.4.x (1.4.15’ten önce)
- 1.5.x (1.5.5’ten önce)
- 1.6.x (1.6.4’ten önce)
Saldırganlar, özel hazırlanmış bir e-posta göndererek bu güvenlik açığından yararlanabilir, manuel etkileşime gerek kalmadan kurbanın tarayıcı penceresinde rastgele JavaScript kodu yürütülmesine olanak tanıyabilir ve checkupdate.js adı verilen bir JavaScript yükleyicisinin ikinci aşamasına yol açabilir.
E-postalar ve klasör verileri, nihai JavaScript yükü tarafından kurbanın Roundcube hesabından HTTPS istekleri aracılığıyla komuta ve kontrol sunucusuna alınıp iletilebilir.
Grup, daha az gelişmiş araçlar kullanmasına rağmen ısrarı, sık sık yapılan kimlik avı kampanyaları ve internete yönelik yamasız, savunmasız uygulamaların yaygınlığı nedeniyle Avrupa hükümetleri için bir tehdit oluşturuyor.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.