Positive Technologies (PT) analistleri, saldırganların Roundcube Webmail istemcisindeki bir XSS güvenlik açığından (CVE-2024-37383) yararlanarak bir BDT ülkesinin devlet kuruluşunu hedef aldığını keşfetti.
Güvenlik açığı, Mayıs 2024’te Roundcube Webmail’in 1.5.7 ve 1.6.7 sürümlerinde yama uygulandı. İstismarın yer aldığı e-posta Haziran 2024’te gönderildi.
CVE-2024-37383 Hakkında
Roundcube, bağımsız bir uygulama gibi görünmesini sağlayan kullanıcı arayüzüne sahip, açık kaynaklı, tarayıcı tabanlı bir IMAP istemcisidir.
CVE-2024-37383, SVG animasyon öznitelikleri aracılığıyla tetiklenebilen bir siteler arası komut dosyası çalıştırma güvenlik açığıdır. Siteler arası komut dosyası çalıştırma, saldırganların güvenilir web sitelerine kötü amaçlı kod eklemesine olanak tanır ve bu kod, web sitesi yüklendikten sonra çalıştırılır.
Bu durumda, e-posta hiçbir metin göstermeyecek şekilde tasarlanmıştı, yalnızca ekli bir belge vardı; ancak yalnızca e-postayı açmak, kullanıcının sayfasında kötü amaçlı JavaScript kodunu çalıştırmak için yeterliydi.
Açıktan yararlanmayı taşıyan e-posta (Kaynak: Positive Technologies)
E-posta gövdesi aslında indirilen gizli JavaScript kodunu içerir. Yol haritası.doc yem görevi görecek, arka planda ise:
- ManageSieve eklentisini kullanarak posta sunucusundan mesajları almaya çalışır
- Hedefin kullanıcı adı ve şifresinin Roundcube istemcisi için otomatik olarak doldurulması veya hedef tarafından girilmesi umuduyla, kullanıcıya görüntülenen HTML sayfasına bir yetkilendirme formu ekler. Böyle bir durumda kimlik bilgileri saldırganlar tarafından kontrol edilen uzak bir sunucuya sızdırılır.
Araştırmacılar, bu kimlik avı kampanyasının şu anda bilinen aktörlerle ilişkilendirilemeyeceğini paylaştı.
Zamanında yama yapmanın önemi
Roundcube Webmail’deki XSS güvenlik açıkları sıklıkla keşfedilir (ve yamalanır).
Bunlar ayrıca daha önce devlet destekli tehdit aktörleri tarafından Ukrayna’daki ve Avrupa genelindeki devlet kurumlarını hedef almak için, bazen sıfır gün olarak (yani yalnızca saldırganlar tarafından bilinen ve mevcut bir düzeltme olmaksızın bilinen güvenlik açıkları) istismar edilmişti.
“Roundcube Webmail en yaygın kullanılan e-posta istemcisi olmasa da devlet kurumları tarafından yaygın kullanımı nedeniyle bilgisayar korsanlarının hedefi olmaya devam ediyor. Bu yazılıma yapılan saldırılar, siber suçluların hassas bilgileri çalmasına olanak tanıyarak önemli hasarlara yol açabilir” dedi ve yazılımın zamanında güncellenmesinin önemini vurguladı.
Roundcube Webmain aktif olarak geliştirilmekte ve özel olarak bildirilen ve sıfır gün güvenlik açıklarına yönelik düzeltmeler düzenli olarak yayınlanmaktadır.