Güvenlik araştırmacıları, popüler açık kaynaklı Roundcube web posta yazılımının kullanıcılarını hedef alan yeni bir kimlik avı kampanyasını ortaya çıkardı.
Bilinmeyen tehdit aktörleri, şüphelenmeyen kurbanlardan oturum açma bilgilerini çalmak için artık yamalı bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığından yararlanıyor. CVE-2024-37383 olarak takip edilen güvenlik açığı, Roundcube’un 1.5.7’den önceki ve 1.6.7’den önceki 1.6.x sürümlerini etkiliyor.
Saldırganların, kötü amaçlı SVG animasyon niteliklerini içeren özel hazırlanmış bir e-posta göndererek kurbanın tarayıcısında rastgele JavaScript kodu çalıştırmasına olanak tanır.
Positive Technologies’den araştırmacılar, saldırıyı Eylül 2024’te Bağımsız Devletler Topluluğu (BDT) ülkesindeki bir devlet kuruluşuna gönderilen bir e-postayı analiz ederken keşfettiler.
İlk olarak Haziran 2024’te gönderilen e-posta boş görünüyordu ancak gizli kötü amaçlı kod içeriyordu. Saldırganlar, SVG animasyon etiketlerindeki “href” özelliğinin değeri olarak JavaScript kodunu ekleyerek bu güvenlik açığından yararlandı.
Join ANY.RUN's FREE webinar on How to Improve Threat Investigations on Oct 23 - Register Here
Bir kurban kötü amaçlı e-postayı savunmasız bir Roundcube istemcisi kullanarak açtığında, enjekte edilen kod web posta uygulaması bağlamında yürütülür.
Kötü amaçlı veri yükü çeşitli eylemler gerçekleştirir:
- “Yol haritası.docx” adlı boş bir Word belgesini kaydeder
- ManageSieve eklentisini kullanarak posta sunucusundan mesajları almaya çalışır
- Kullanıcı kimlik bilgilerini yakalamak için Roundcube arayüzüne sahte bir giriş formu enjekte eder
- Çalınan kullanıcı adını ve şifreyi saldırganın kontrol ettiği bir sunucuya (libcdn.org) sızdırır
Bu saldırı, görünüşte zararsız olan e-postaların, yama uygulanmamış sistemleri hedef alırken ne kadar önemli tehditler oluşturabileceğini gösteriyor.
Roundcube güvenlik açığı Mayıs 2024’te düzeltildi ancak birçok kuruluş hâlâ güvenlik açığı bulunan sürümleri çalıştırıyor olabilir.
Bu kampanyanın arkasındaki tehdit aktörlerinin kimliği bilinmemekle birlikte APT28, Winter Vivern ve TAG-70 gibi çeşitli bilgisayar korsanlığı grupları daha önceki Roundcube güvenlik açıklarından yararlandı. Devlet kurumları Roundcube’u sık kullanmaları nedeniyle özellikle cazip hedeflerdir.
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2024-37383’ü Bilinen İstismara Uğrayan Güvenlik Açıkları Kataloğu’na ekleyerek bu tür kusurların kötü niyetli aktörler için yaygın saldırı vektörleri olduğu konusunda uyarıda bulundu.
CISA, ABD federal kurumlarına, etkilenen Roundcube sunucularına 4 Mart 2024’e kadar yama yapma talimatı verdi. Güvenlik uzmanları, tüm Roundcube kullanıcılarına derhal en son yamalı sürümlere (1.5.7 veya 1.6.7) güncelleme yapmalarını şiddetle tavsiye ediyor.
Ayrıca kullanıcıların önlem olarak e-posta şifrelerini değiştirmeleri ve tarayıcılarının Roundcube site verilerini temizlemeleri gerekmektedir.
Bu olay, özellikle e-posta gibi hassas bilgileri işleyen uygulamalar için zamanında yazılım güncellemelerinin kritik önemini vurgulamaktadır.
Roundcube veya benzeri web posta çözümlerini kullanan kuruluşlar, bu tür riskleri azaltmak için güçlü yama yönetimi süreçleri uygulamalı ve düzenli güvenlik değerlendirmeleri yapmalıdır.
Siber tehditler gelişmeye devam ederken, uyanık kalmak ve yazılımı güncel tutmak, kimlik bilgileri hırsızlığına ve e-posta sistemlerini hedef alan diğer kötü amaçlı faaliyetlere karşı en etkili savunmalardan biri olmaya devam ediyor.
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here