Siber güvenlik araştırmacıları, Roundcube web posta yazılımındaki güvenlik açıklarına ilişkin ayrıntıları açıkladı. Bu açıklar, belirli koşullar altında kurbanın web tarayıcısında kötü amaçlı JavaScript çalıştırarak hesabından hassas bilgileri çalmak için kullanılabiliyor.
Siber güvenlik şirketi Sonar, bu hafta yayınladığı analizde, “Bir kurban, Roundcube’da bir saldırgan tarafından gönderilen kötü amaçlı bir e-postayı görüntülediğinde, saldırgan kurbanın tarayıcısında keyfi JavaScript çalıştırabilir” dedi.
“Saldırganlar bu açığı kullanarak kurbanın e-postalarını, kişilerini ve e-posta şifresini çalabilir ve kurbanın hesabından e-posta gönderebilir.”
18 Haziran 2024’te yapılan sorumlu açıklamanın ardından, üç güvenlik açığı 4 Ağustos 2024’te yayınlanan Roundcube 1.6.8 ve 1.5.8 sürümlerinde giderildi.
Güvenlik açıklarının listesi şu şekildedir:
- CVE-2024-42008 – Tehlikeli bir İçerik Türü başlığıyla sunulan kötü amaçlı bir e-posta eki aracılığıyla çapraz site komut dosyası çalıştırma açığı
- CVE-2024-42009 – Temizlenmiş HTML içeriğinin sonradan işlenmesinden kaynaklanan bir siteler arası betik hatası
- CVE-2024-42010 – Yetersiz CSS filtrelemesinden kaynaklanan bir bilgi ifşa hatası
Yukarıda belirtilen açıkların başarılı bir şekilde istismar edilmesi, kimliği doğrulanmamış saldırganların e-postaları ve kişileri çalmasına, ayrıca Roundcube’da özel olarak hazırlanmış bir e-postayı görüntüledikten sonra kurbanın hesabından e-posta göndermesine olanak tanıyabilir.
Güvenlik araştırmacısı Oskar Zeino-Mahmalat, “Saldırganlar, kurbanın tarayıcısında yeniden başlatmalar sırasında kalıcı bir yer edinebilir, bu sayede e-postaları sürekli olarak dışarı aktarabilir veya kurbanın şifresini bir sonraki girişte çalabilirler” dedi.
“Başarılı bir saldırı için, kritik XSS açığını (CVE-2024-42009) istismar etmek için saldırganın e-postasını görüntülemenin ötesinde bir kullanıcı etkileşimi gerekmez. CVE-2024-42008 için, istismarın çalışması için kurbanın tek bir tıklaması gerekir, ancak saldırgan bu etkileşimi kullanıcı için belirsiz hale getirebilir.”
Kullanıcılara en son sürüme güncelleme yapmaları için zaman tanımak ve web posta yazılımındaki kusurların APT28, Winter Vivern ve TAG-70 gibi ulus-devlet aktörleri tarafından defalarca istismar edildiği gerçeği ışığında, sorunlarla ilgili ek teknik ayrıntılar gizlendi.
Bulgular, RaspAP açık kaynaklı projesinde (CVE-2024-41637, CVSS puanı: 10.0) bir saldırganın köke yükselmesine ve birkaç kritik komutu yürütmesine olanak tanıyan maksimum öneme sahip yerel ayrıcalık yükseltme açığı hakkında ayrıntıların ortaya çıkmasıyla birlikte geldi. Güvenlik açığı 3.1.5 sürümünde giderildi.
“www-data kullanıcısı restapi.service dosyasına yazma erişimine sahiptir ve ayrıca parola olmadan birkaç kritik komutu yürütmek için sudo ayrıcalıklarına sahiptir,” çevrimiçi takma adı 0xZon1 olan bir güvenlik araştırmacısı şöyle dedi. “Bu izin kombinasyonu, bir saldırganın hizmeti değiştirerek kök ayrıcalıklarıyla keyfi kod yürütmesine ve erişimini www-data’dan köke yükseltmesine olanak tanır.”