Yaygın olarak kullanılan açık kaynaklı bir webmail uygulaması olan Roundcube, popüler cPanel web hosting kontrol paneline varsayılan olarak dahil edilmiştir ve dünya çapında milyonlarca kuruluma sahiptir.
Yazılım, üniversiteler ve kamu kurumları tarafından yaygın olarak kullanıldığından, kamu sektörü çalışanlarının e-posta hesapları, casusluk yapan Gelişmiş Sürekli Tehdit (APT) grupları için değerli bir hedef haline geliyor.
Sonar Source’daki siber güvenlik araştırmacıları yakın zamanda Roundcube’da kritik bir XSS açığı keşfetti (1.6.7 sürümü CVE-2024-42009’a, 1.5.7 ve altı sürümler ise CVE-2024-42008’e karşı savunmasızdır) ve bu durum tehdit aktörlerinin keyfi kod yürütmesine olanak tanıyor.
Roundcube’da XSS Güvenlik Açığı
2023 yılında ESET Research ve Insikt Group, Winter Vivern APT’sinin Ukrayna ordusu, Gürcistan Savunma Bakanlığı ve diğer Avrupa kuruluşları tarafından kullanılan Roundcube sunucularını hedef alan saldırı kampanyalarını belgeledi.
Are you from SOC and DFIR Teams? Analyse Malware Incidents & get live Access with ANY.RUN -> Get 14 Days Free Access
Bu saldırılar, kötü amaçlı bir e-postayı görüntüleyen kurbanların e-postalarını ve parolalarını çalmak için Roundcube’daki Cross-Site Scripting (XSS) sıfır günlük bir güvenlik açığını başarıyla kullandı.
CVE-2024-42009 güvenlik açığı kritik olarak değerlendiriliyor çünkü Roundcube’da kötü amaçlı bir e-postayı görüntülemek dışında herhangi bir kullanıcı etkileşimi olmadan istismar edilebiliyor.
Biraz daha az ciddi olan CVE-2024-42008 ise kurbanın tek bir tıklama yapmasını gerektiriyor, ancak saldırgan bu etkileşimi göze çarpmayacak şekilde ayarlayabilir.
Bu güvenlik açıkları, saldırganların kurbanın tarayıcısında kalıcı bir yer edinmelerine, e-postaları sürekli olarak dışarı sızdırmalarına veya bir dahaki sefere girildiğinde kurbanın parolasını çalmalarına olanak tanıyabileceğinden önemli bir risk oluşturmaktadır.
Bu güvenlik açıkları, saldırganların kurbanın tarayıcısının kontrolünü sürekli olarak ele geçirmek ve e-postaları sızdırmaya devam etmek, hatta bir dahaki sefere girildiğinde şifrelerini çalmak için kullanabilecekleri için büyük tehditlerdir.
Bu durum Roundcube’u, 2023 yılında Ukrayna ordusunu ve Gürcistan Savunma Bakanlığı’nı hedef alan casusluk faaliyetlerinde bulunan APT grupları için önemli bir hedef haline getirdi.
Sonuç olarak, genellikle bu şirketlerde barındırılan hükümet ve üniversite e-posta hesaplarının ifşa edilmesi.
Ancak bunun yanı sıra Winter Vivern APT grubu gibi tehdit aktörleri, Roundcube’daki benzer XSS zayıflıklarını keşfetme ve bunlardan yararlanma yeteneklerini çoktan kanıtladılar.
Bu güvenlik açıklarına ilişkin yama detayları henüz kamuoyuyla paylaşılmıyor, zira Winter Vivern APT grubu gibi kararlı saldırganların bağımsız olarak benzer açıkları keşfetmesi mümkün olabilir.
Bu tehdide karşı önlem almak için Roundcube yöneticileri kurulumlarını derhal 1.6.8 veya 1.5.8 yamalı sürümleriyle güncellemelidir.
Etkilenmiş olabileceğini düşünen kullanıcılar ayrıca e-posta parolalarını değiştirmeli ve Roundcube örneğinin kullanımıyla ilişkili site verilerini temizlemelidir.
Download Free Cybersecurity Planning Checklist for SME Leaders (PDF) – Free Download