Üniversite ortamlarının yanı sıra devlet kurumları tarafından da sıklıkla kullanılan Roundcube webmailer'da saldırganlar bir güvenlik açığından yararlanmaya çalışıyor. Saldırganlar potansiyel kurbanların oturum açma verilerine ve diğer e-postalarına erişmeye, yani onları gözetlemeye çalışıyorlardı.
Duyuru
Positive Technologies, yaptığı analizde saldırıları Eylül 2024'te keşfettiğini yazıyor. BDT ülkesindeki bir devlet kuruluşuna Haziran tarihli bir e-posta gönderildi. E-postanın metin içermediği, yalnızca bir ek içerdiği görüldü. Ancak ek istemcide görüntülenmedi. İleti gövdesindeki bir Java komutu, yürütülen Javascript kodunun kodunu çözdü. Ek boşluk içeren “href” öznitelik adı, CVE-2024-37383 güvenlik açığının Roundcube'da saldırıya uğradığını gösteriyordu.
Yuvarlak küp güvenlik açığı
Güvenlik açığı, SVG Animate niteliklerinin işlenmesinde siteler arası komut dosyası çalıştırma güvenlik açığıdır. Mayıs ayında Roundcube 1.5.7 ve 1.6.7 sürümlerinde kapatıldı. Güvenlik açığı, saldırganların kullanıcıların bağlamında Javascript kodu yürütmesine olanak tanıyor.
Saldırganın e-postası, kodu çözülmüş Javascript talimatlarını içeren Base64 kodlu boş bir “Road haritası.docx” belgesini saklıyordu. Ayrıca Managesieve eklentisini kullanarak posta sunucusundan mesaj almayı da denediler. Kod ayrıca Roundcube istemci kimlik bilgileri için bir yetkilendirme formu da gösteriyordu. Bu durumda saldırganlar, yeniden giriş yapmaları gerektiğini düşünen mağdurlar tarafından alanların otomatik veya manuel olarak doldurulmasını umuyor.
Komut dosyası kodu, ele geçirilen kimlik bilgilerini 6 Haziran 2024'te kayıtlı bir libcdn URL'sine gönderdi. Analiz, enfeksiyona dair başka bir ipucu olarak, posta kutusu içeriğinin gönderildiği rcm.codes URL'sinden alıntı yapıyor. Positive Technologies, bilinmeyen saldırganları bilinen herhangi bir gruba atayamaz.
BT yöneticileri Roundcube'un güvenli bir sürümünü kullandıklarından emin olmalıdır. Güncellemeler mevcutsa, bunları yüklemekten çekinmemelisiniz. Roundcube bulut sunucuları siber suçlular için popüler bir hedef gibi görünüyor.
Ağustos ayında Roundcube geliştiricileri 1.5.8 ve 1.6.8'in yeni sürümlerini yayınladı. Biri kritik olarak sınıflandırılan üç güvenlik açığını kapattılar. Bu sürümler zaten saldırıya uğrayan güvenlik açığı tarafından korunmaktadır.
(Bilmiyorum)
Duyuru
Positive Technologies, yaptığı analizde saldırıları Eylül 2024'te keşfettiğini yazıyor. BDT ülkesindeki bir devlet kuruluşuna Haziran tarihli bir e-posta gönderildi. E-postanın metin içermediği, yalnızca bir ek içerdiği görüldü. Ancak ek istemcide görüntülenmedi. İleti gövdesindeki bir Java komutu, yürütülen Javascript kodunun kodunu çözdü. Ek boşluk içeren “href” öznitelik adı, CVE-2024-37383 güvenlik açığının Roundcube'da saldırıya uğradığını gösteriyordu.
Yuvarlak küp güvenlik açığı
Güvenlik açığı, SVG Animate niteliklerinin işlenmesinde siteler arası komut dosyası çalıştırma güvenlik açığıdır. Mayıs ayında Roundcube 1.5.7 ve 1.6.7 sürümlerinde kapatıldı. Güvenlik açığı, saldırganların kullanıcıların bağlamında Javascript kodu yürütmesine olanak tanıyor.
Saldırganın e-postası, kodu çözülmüş Javascript talimatlarını içeren Base64 kodlu boş bir “Road haritası.docx” belgesini saklıyordu. Ayrıca Managesieve eklentisini kullanarak posta sunucusundan mesaj almayı da denediler. Kod ayrıca Roundcube istemci kimlik bilgileri için bir yetkilendirme formu da gösteriyordu. Bu durumda saldırganlar, yeniden giriş yapmaları gerektiğini düşünen mağdurlar tarafından alanların otomatik veya manuel olarak doldurulmasını umuyor.
Komut dosyası kodu, ele geçirilen kimlik bilgilerini 6 Haziran 2024'te kayıtlı bir libcdn URL'sine gönderdi. Analiz, enfeksiyona dair başka bir ipucu olarak, posta kutusu içeriğinin gönderildiği rcm.codes URL'sinden alıntı yapıyor. Positive Technologies, bilinmeyen saldırganları bilinen herhangi bir gruba atayamaz.
BT yöneticileri Roundcube'un güvenli bir sürümünü kullandıklarından emin olmalıdır. Güncellemeler mevcutsa, bunları yüklemekten çekinmemelisiniz. Roundcube bulut sunucuları siber suçlular için popüler bir hedef gibi görünüyor.
Ağustos ayında Roundcube geliştiricileri 1.5.8 ve 1.6.8'in yeni sürümlerini yayınladı. Biri kritik olarak sınıflandırılan üç güvenlik açığını kapattılar. Bu sürümler zaten saldırıya uğrayan güvenlik açığı tarafından korunmaktadır.
(Bilmiyorum)