ESET araştırmacılarına göre Winter Vivern APT grubu, Avrupa devlet kurumlarının ve bir düşünce kuruluşunun e-posta iletişimlerini gözetlemek için Roundcube web posta sunucularındaki sıfır gün güvenlik açığından (CVE-2023-5631) yararlanıyor.
Araştırmacılar, “XSS güvenlik açığından yararlanılması, özel hazırlanmış bir e-posta mesajı gönderilerek uzaktan yapılabilir” dedi. “Mesajı bir web tarayıcısında görüntülemek dışında hiçbir manuel etkileşime gerek yoktur.”
CVE-2023-5631’in incelenmesi
Roundcube, uygulama benzeri kullanıcı arayüzüne sahip, açık kaynaklı, tarayıcı tabanlı bir e-posta istemcisidir.
CVE-2023-5631, Roundcube’un sunucu tarafı komut dosyasındaki bir siteler arası komut dosyası çalıştırma (XSS) güvenlik açığıdır rcube_washtml.phpözel hazırlanmış bir SVG belgesine sahip bir HTML e-posta mesajı yoluyla isteğe bağlı JavaScript kodunu yüklemek üzere tetiklenebilir.
11 Ekim 2023’te Winter Vivern bilgisayar korsanları, hedeflerine “Microsoft Hesapları Ekibi”ni taklit eden, base64 kodlu bir veri (istismar komut dosyası) içeren bir SVG etiketi taşıyan bir e-posta gönderdi.
Kötü amaçlı e-posta (Kaynak: ESET)
Saldırının son aşamasında saldırganlar, mevcut Roundcube hesabındaki klasörleri ve e-postaları listeleyen ve e-posta mesajlarını saldırganların C2 sunucusuna sızdıran başka bir JavaScript verisi yükledi.
Ne yapalım?
“Winter Vivern, Roundcube’daki sıfır gün güvenlik açığını kullanarak operasyonlarını hızlandırdı. Daha önce Roundcube’daki bilinen güvenlik açıklarını kullanıyordu [CVE-2020-35730] ve Zimbra [CVE-2022-27926]ESET araştırmacıları, “kavram kanıtlarının çevrimiçi olarak mevcut olduğu” dedi.
“Winter Vivern’in, hakkında ilk kez Ağustos 2023’te yayınladığımız, Belarus’a uyumlu sofistike bir grup olan MoustachedBouncer ile bağlantılı olduğuna pek güvenmiyoruz.”
CVE-2023-5631, Matthieu Faou (ESET) ve Denys Klymenko tarafından Roundcube ekibine ayrı ayrı bildirildi ve birkaç gün sonra yama uygulandı. Roundcube’un 1.6.4’ten önceki 1.6.x, 1.5.5’ten önceki 1.5.x ve 1.4.15’ten önceki 1.4.x sürümlerini etkiler.
Yöneticilerin kurulumlarını mümkün olan en kısa sürede sabit sürümlerden birine yükseltmeleri önerilir. Bu saldırılarda hedef alındıklarını düşünüyorlarsa, güvenlik ihlali göstergelerini de aramaları gerekir (ESET tarafından sağlanır).