Roundcube’u etkileyen iki çapraz site betik çalıştırma açığı (CVE-2024-42009, CVE-2024-42008), saldırganlar tarafından kullanıcıların e-postalarını ve kişilerini, e-posta şifrelerini çalmak ve hesaplarından e-posta göndermek için kullanılabilir.
Güvenlik açıkları hakkında
Roundcube, Avrupa hükümet kurumları, barındırma sağlayıcıları ve dünya çapındaki akademik kurumlar tarafından popüler olan açık kaynaklı bir web posta yazılım çözümüdür.
CVE-2024-42009 ve CVE-2024-42008 ikisi de XSS hatalarıdır. İlki, uzaktaki bir saldırganın, hazırlanmış bir e-posta mesajı aracılığıyla bir kurbanın e-postalarını çalmasına ve göndermesine izin verir, ikincisi ise kötü amaçlı bir e-posta eki aracılığıyla aynı şeyi yapmasına izin verir.
“Saldırganın e-postasını görüntülemenin ötesinde herhangi bir kullanıcı etkileşimi gerekmiyor [CVE-2024-42009]Sonar güvenlik açığı araştırmacısı Oskar Zeino-Mahmalat, “CVE-2024-42008 için, istismarın çalışması için kurbanın tek bir tıklaması gerekiyor, ancak saldırgan bu etkileşimi kullanıcı için belirsiz hale getirebiliyor” dedi.
“Bir kurban, bir saldırgan tarafından Roundcube’da gönderilen kötü amaçlı bir e-postayı görüntülediğinde, saldırgan kurbanın tarayıcısında keyfi JavaScript çalıştırabilir. Saldırganlar, yeniden başlatmalar boyunca kurbanın tarayıcısında kalıcı bir yer edinebilir, bu da e-postaları sürekli olarak dışarı sızdırmalarına veya bir sonraki girildiğinde kurbanın parolasını çalmalarına olanak tanır.”
Üçüncü bir açık olan CVE-2024-42010, işlenmiş e-posta mesajlarında yeterince filtrelenmemiş Basamaklı Stil Sayfaları (CSS) belirteç dizilerine izin vererek, uzaktaki bir saldırganın hassas bilgileri elde etmesine olanak tanır.
CVE-2024-42009 üzerinden yapılan saldırının video demosunu buradan izleyebilirsiniz.
Üç güvenlik açığı Roundcube 1.6.8 ve 1.5.8 sürümlerinde giderildi.
“Kullanıcılara güncelleme yapmaları için zaman tanımak adına şu anda güvenlik açıklarının teknik ayrıntılarını açıklamayacağız. Bunun, Winter Vivern gibi özel saldırganları uzun süre durduramayacağını düşünüyoruz. Bu saldırganlar, benzer XSS güvenlik açıklarını kendi başlarına keşfedebileceklerini çoktan gösterdiler,” dedi Zeino-Mahmalat.
“Roundcube yöneticilerine, kuruluşlarının kullanıcılarını korumak için en son yama olan 1.6.8 veya 1.5.8 sürümünü mümkün olan en kısa sürede uygulamalarını şiddetle tavsiye ediyoruz. Etkilendiğinden şüphelenen kullanıcılar e-posta şifrelerini değiştirmeli ve ayrıca tarayıcılarında kullandıkları Roundcube sitesinin site verilerini temizlemelidir.”
Roundcube XSS kusurları saldırganlar tarafından çok beğeniliyor
Haziran 2023’te Recorded Future, Ukrayna devlet kuruluşlarını hedef alan ve sırasıyla bir XSS ve bir SQL enjeksiyon açığı olan CVE-2020-35730 ve CVE-2021-44026’yı kullanarak kuruluşların Roundcube veritabanından bilgi çalan bir kimlik avı kampanyasını açığa çıkardı.
Ekim 2023’te ESET araştırmacıları, XSS sıfır-gün (CVE-2023-5631) yoluyla Avrupa hükümet kuruluşlarını ve bir düşünce kuruluşunu hedef alan Winter Vivern APT’sini tespit etti.
Roundcube bakımcıları 2023’ün sonlarından bu yana istikrarlı bir şekilde bir dizi XSS güvenlik açığını düzeltiyor.
Şubat 2024’te CISA, ABD federal hükümet kurumlarına, bilinmeyen saldırganlar tarafından istismar edilen bir Roundcube XSS açığını (CVE-2023-43770) kapatmalarını emretti.