Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia
Recentemente, agentes de ameaças têm explorado uma vulnerabilidade no cliente Roundcube Webmail para atacar organizações governamentais na região da Comunidade dos Estados Independentes (CEI), sucessora da antiga União Soviética.
A empresa russa de segurança cibernética Positive Technologies descobriu um ataque em setembro, embora os pesquisadores tenham determinado que as atividades dos agentes de ameaça começaram em junho.
Roundcube Webmail é uma solução de webmail baseada em PHP, de código aberto, popular entre entidades comerciais e governamentais, que suporta plugins para estender sua funcionalidade.
Os atacantes estão explorando uma vulnerabilidade de Cross-Site Scripting (XSS) de média gravidade, identificada como CVE-2024-37383. Essa falha permite a execução de código JavaScript malicioso na página do Roundcube ao abrir um e-mail especialmente elaborado. O problema ocorre devido ao processamento inadequado de elementos SVG no e-mail, que ignora verificações de sintaxe e possibilita a execução de código malicioso na página do usuário.
Um relatório da Positive Technologies revela que os ataques utilizaram e-mails sem conteúdo visível e apenas um anexo DOC. No entanto, os agentes de ameaça incorporaram uma carga útil oculta no código, que o cliente processa, mas não exibe no corpo da mensagem, utilizando tags específicas “< animate >”.
A carga útil consiste em um pedaço de código JavaScript codificado em base64 disfarçado como um valor “href”. Ele baixa um documento de chamariz (por exemplo, "Road map.doc") de um servidor remoto para distrair a vítima. Simultaneamente, um formulário de login não autorizado é injetado na página HTML, solicitando as credenciais de acesso ao servidor de e-mail.
Segundo os pesquisadores, um formulário de autorização com campos para o nome de usuário (rcmloginuser) e senha (rcmloginpwd) é adicionado à página HTML exibida para o usuário. Os atacantes esperam que as vítimas preencham esses campos, seja manualmente ou automaticamente, permitindo assim a captura das credenciais.
Caso as vítimas insiram suas informações, os dados são enviados para um servidor remoto em “libcdn[.]org”, que foi registrado recentemente e está hospedado na infraestrutura da Cloudflare. Além disso, os invasores também utilizam o plugin ManageSieve para extrair mensagens do servidor de e-mail.
O CVE-2024-37383 afeta versões do Roundcube anteriores à 1.5.6 e as versões 1.6 a 1.6.6. Portanto, é altamente recomendável que administradores de sistema atualizem para a versão mais recente o quanto antes. A vulnerabilidade foi corrigida com o lançamento do Roundcube Webmail 1.5.7 e 1.6.7 em 19 de maio. A versão mais recente disponível e recomendada é a 1.6.9, lançada em 1º de setembro.
As falhas do Roundcube são frequentemente alvos de hackers devido à utilização da ferramenta de código aberto por organizações importantes. No início deste ano, a CISA emitiu um aviso sobre hackers visando o CVE-2023-43770, outro bug XSS no Roundcube, dando às organizações federais um prazo de duas semanas para correção.
Em outubro de 2023, hackers russos conhecidos como ‘Winter Vivern’ foram observados explorando uma falha XSS zero-day no Roundcube, rastreada como CVE-2023-5631, para comprometer entidades governamentais e think tanks na Europa. Já em junho de 2023, hackers do grupo GRU, APT28, exploraram quatro vulnerabilidades do Roundcube para roubar informações de servidores de e-mail utilizados por diversas organizações na Ucrânia, incluindo agências governamentais.
É crucial que todas as organizações que utilizam o Roundcube Webmail realizem atualizações regulares e permaneçam vigilantes em relação a possíveis ameaças de segurança cibernética. A implementação de boas práticas de segurança, como autenticação multifator e monitoramento contínuo, pode ajudar a mitigar riscos e proteger informações sensíveis.
Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.
Proteja seu futuro digital com conhecimento!
WezRat Malware: Hackers Iranianos Atacam Organizações Israelenses com Ferramenta Avançada de Espionagem Cibernética
Ghost Tap: A Nova Ameaça de Saque Usando NFC Relay
Ameaças Digitais na Black Friday: Como os Cibercriminosos Exploram o Comércio Online e a Dark Web