Falha no Roundcube Webmail explorada em ataque contra entidade governamental

A empresa de cibersegurança Positive Technologies relatou que um cibercriminoso foi detetado a tentar explorar uma falha recente no Roundcube Webmail contra uma organização governamental de um país da Commonwealth of Independent States (CIS).

A vulnerabilidade, registada como CVE-2024-37383, é descrita como uma falha de cross-site scripting (XSS) que afetava a gestão dos atributos SVG animate pelo Roundcube. Esta falha foi corrigida a 19 de maio nas versões 1.5.7 e 1.6.7 do Roundcube Webmail.

Segundo a Positive Technologies, a organização alvo recebeu um email em junho que continha apenas um anexo. A empresa de cibersegurança informou que o cliente de email não mostrava o anexo, e o corpo da mensagem continha etiquetas características e uma instrução para descodificar e executar código JavaScript.

“O nome do atributo distintivo (attributeName=”href “), com um espaço extra, indica que o email é uma tentativa de explorar a vulnerabilidade CVE-2024-37383 no Roundcube Webmail”, refere a Positive Technologies.

No âmbito do ataque, o código, quando executado, pretendia guardar o documento anexado e obter emails do servidor da entidade atacada através do plugin ManageSieve.

O código também adicionava campos para o nome de utilizador e palavra-passe do destinatário à página HTML, com o objetivo de recolher credenciais e enviá-las para um servidor controlado pelo cibercriminoso.

A Positive Technologies não conseguiu relacionar o ataque com um agente de ameaça conhecido, mas as vulnerabilidades do Roundcube já foram exploradas anteriormente pelo grupo russo de ciberespionagem Winter Vivern.