Hackers Explorando Falha do Webmail Roundcube para Roubar Credenciais de E-mail
Brasiline
22 de outubro de 2024

Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia

Recentemente, agentes de ameaças têm explorado uma vulnerabilidade no cliente Roundcube Webmail para atacar organizações governamentais na região da Comunidade dos Estados Independentes (CEI), sucessora da antiga União Soviética.

A empresa russa de segurança cibernética Positive Technologies descobriu um ataque em setembro, embora os pesquisadores tenham determinado que as atividades dos agentes de ameaça começaram em junho.

O que é Roundcube Webmail?

Roundcube Webmail é uma solução de webmail baseada em PHP, de código aberto, popular entre entidades comerciais e governamentais, que suporta plugins para estender sua funcionalidade.

Vulnerabilidade XSS Identificada

Os atacantes estão explorando uma vulnerabilidade de Cross-Site Scripting (XSS) de média gravidade, identificada como CVE-2024-37383. Essa falha permite a execução de código JavaScript malicioso na página do Roundcube ao abrir um e-mail especialmente elaborado. O problema ocorre devido ao processamento inadequado de elementos SVG no e-mail, que ignora verificações de sintaxe e possibilita a execução de código malicioso na página do usuário.

Estratégia de Ataque: E-mails "Vazios"

Um relatório da Positive Technologies revela que os ataques utilizaram e-mails sem conteúdo visível e apenas um anexo DOC. No entanto, os agentes de ameaça incorporaram uma carga útil oculta no código, que o cliente processa, mas não exibe no corpo da mensagem, utilizando tags específicas “< animate >”.

Como Funciona o Ataque

A carga útil consiste em um pedaço de código JavaScript codificado em base64 disfarçado como um valor “href”. Ele baixa um documento de chamariz (por exemplo, "Road map.doc") de um servidor remoto para distrair a vítima. Simultaneamente, um formulário de login não autorizado é injetado na página HTML, solicitando as credenciais de acesso ao servidor de e-mail.

Segundo os pesquisadores, um formulário de autorização com campos para o nome de usuário (rcmloginuser) e senha (rcmloginpwd) é adicionado à página HTML exibida para o usuário. Os atacantes esperam que as vítimas preencham esses campos, seja manualmente ou automaticamente, permitindo assim a captura das credenciais.

Caso as vítimas insiram suas informações, os dados são enviados para um servidor remoto em “libcdn[.]org”, que foi registrado recentemente e está hospedado na infraestrutura da Cloudflare. Além disso, os invasores também utilizam o plugin ManageSieve para extrair mensagens do servidor de e-mail.

Medidas de Proteção

O CVE-2024-37383 afeta versões do Roundcube anteriores à 1.5.6 e as versões 1.6 a 1.6.6. Portanto, é altamente recomendável que administradores de sistema atualizem para a versão mais recente o quanto antes. A vulnerabilidade foi corrigida com o lançamento do Roundcube Webmail 1.5.7 e 1.6.7 em 19 de maio. A versão mais recente disponível e recomendada é a 1.6.9, lançada em 1º de setembro.

As falhas do Roundcube são frequentemente alvos de hackers devido à utilização da ferramenta de código aberto por organizações importantes. No início deste ano, a CISA emitiu um aviso sobre hackers visando o CVE-2023-43770, outro bug XSS no Roundcube, dando às organizações federais um prazo de duas semanas para correção.

Em outubro de 2023, hackers russos conhecidos como ‘Winter Vivern’ foram observados explorando uma falha XSS zero-day no Roundcube, rastreada como CVE-2023-5631, para comprometer entidades governamentais e think tanks na Europa. Já em junho de 2023, hackers do grupo GRU, APT28, exploraram quatro vulnerabilidades do Roundcube para roubar informações de servidores de e-mail utilizados por diversas organizações na Ucrânia, incluindo agências governamentais.

Conclusão

É crucial que todas as organizações que utilizam o Roundcube Webmail realizem atualizações regulares e permaneçam vigilantes em relação a possíveis ameaças de segurança cibernética. A implementação de boas práticas de segurança, como autenticação multifator e monitoramento contínuo, pode ajudar a mitigar riscos e proteger informações sensíveis.

Fonte

Fique por Dentro das Principais Ameaças Cibernéticas!

Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.

Proteja seu futuro digital com conhecimento!

Mais Recentes
Ghost Tap: A Nova Ameaça de Saque Usando NFC Relay
Brasiline
26 de novembro de 2024
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia Os agentes de ameaça estão sofisticando suas táticas de saque: […]
Ameaças Digitais na Black Friday: Como os Cibercriminosos Exploram o Comércio Online e a Dark Web
Brasiline
21 de novembro de 2024
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia O comércio eletrônico cresce exponencialmente, tornando-se um dos alvos favoritos […]
BlueNoroff: Grupo Norte-Coreano Intensifica Ataques ao Setor de Criptomoedas com Malware Oculto no macOS
Brasiline
12 de novembro de 2024
Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia As ameaças cibernéticas às empresas de criptomoedas continuam a evoluir, […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?