CISA предупреждает, что уязвимость почтового сервера Roundcube, исправленная в сентябре, в настоящее время активно используется для атак с использованием межсайтовых сценариев (XSS).
Уязвимость безопасности (CVE-2023-43770) - это постоянная ошибка межсайтового скриптинга (XSS), которая позволяет злоумышленникам получать доступ к ограниченной информации через обычные текстовые сообщения, злонамеренно созданные ссылки при атаках низкой сложности, требующих взаимодействия с пользователем.
Уязвимость затрагивает почтовые серверы Roundcube, работающие под управлением версий новее 1.4.14, 1.5.x до 1.5.4 и 1.6.x до 1.6.3.
"Мы настоятельно рекомендуем обновить все производительные установки Roundcube 1.6.x этой новой версией", - заявила команда безопасности Roundcube, выпустив обновления для системы безопасности CVE-2023-43770 пять месяцев назад. Хотя компания не предоставила никаких подробностей об атаках, CISA добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей, предупредив, что такие недостатки безопасности являются "частыми векторами атак для злоумышленников в киберпространстве и представляют значительные риски для федерального предприятия".
CISA также приказала агентствам Федеральной гражданской исполнительной власти США (FCEB) защитить почтовые серверы Roundcube от этой ошибки безопасности в течение трех недель, к 4 марта, в соответствии с обязательной оперативной директивой (BOD 22-01), выпущенной в ноябре 2021 года. В настоящее время Shodan отслеживает более 132 000 серверов Roundcube, доступных в Интернете. Однако нет информации о том, сколько из них уязвимы для продолжающихся атак с использованием эксплойтов CVE-2023-43770.
Другой недостаток Roundcube, уязвимость хранимого межсайтового скриптинга (XSS), отслеживаемая как CVE-2023-5631, была нацелена российской хакерской группой Winter Vivern (она же TA473) как минимум с 11 октября.
Злоумышленники использовали HTML-сообщения электронной почты, содержащие тщательно обработанные вредоносные SVG-документы, предназначенные для удаленного внедрения произвольного кода JavaScript.
Полезная нагрузка JavaScript, сброшенная в ходе октябрьских атак, позволила российским хакерам украсть электронные письма со взломанных почтовых серверов Roundcube, принадлежащих государственным структурам и аналитическим центрам в Европе.
Операторы Winter Vivern также воспользовались уязвимостью CVE-2020-35730 Roundcube XSS в период с августа по сентябрь 2023 года.
Тот же баг был использован российской группой кибершпионажа APT28, входящей в состав Главного разведывательного управления Генерального штаба России (ГРУ), для взлома почтовых серверов Roundcube, принадлежащих украинскому правительству.Хакеры Winter Vivern также воспользовались уязвимостью Zimbra CVE-2022-27926 XSS в начале 2023 года, чтобы нацелиться на страны НАТО и украсть электронные письма, принадлежащие правительствам, должностным лицам и военнослужащим НАТО.
Уязвимость безопасности (CVE-2023-43770) - это постоянная ошибка межсайтового скриптинга (XSS), которая позволяет злоумышленникам получать доступ к ограниченной информации через обычные текстовые сообщения, злонамеренно созданные ссылки при атаках низкой сложности, требующих взаимодействия с пользователем.
Уязвимость затрагивает почтовые серверы Roundcube, работающие под управлением версий новее 1.4.14, 1.5.x до 1.5.4 и 1.6.x до 1.6.3.
"Мы настоятельно рекомендуем обновить все производительные установки Roundcube 1.6.x этой новой версией", - заявила команда безопасности Roundcube, выпустив обновления для системы безопасности CVE-2023-43770 пять месяцев назад. Хотя компания не предоставила никаких подробностей об атаках, CISA добавила уязвимость в свой каталог известных эксплуатируемых уязвимостей, предупредив, что такие недостатки безопасности являются "частыми векторами атак для злоумышленников в киберпространстве и представляют значительные риски для федерального предприятия".
CISA также приказала агентствам Федеральной гражданской исполнительной власти США (FCEB) защитить почтовые серверы Roundcube от этой ошибки безопасности в течение трех недель, к 4 марта, в соответствии с обязательной оперативной директивой (BOD 22-01), выпущенной в ноябре 2021 года. В настоящее время Shodan отслеживает более 132 000 серверов Roundcube, доступных в Интернете. Однако нет информации о том, сколько из них уязвимы для продолжающихся атак с использованием эксплойтов CVE-2023-43770.
Другой недостаток Roundcube, уязвимость хранимого межсайтового скриптинга (XSS), отслеживаемая как CVE-2023-5631, была нацелена российской хакерской группой Winter Vivern (она же TA473) как минимум с 11 октября.
Злоумышленники использовали HTML-сообщения электронной почты, содержащие тщательно обработанные вредоносные SVG-документы, предназначенные для удаленного внедрения произвольного кода JavaScript.
Полезная нагрузка JavaScript, сброшенная в ходе октябрьских атак, позволила российским хакерам украсть электронные письма со взломанных почтовых серверов Roundcube, принадлежащих государственным структурам и аналитическим центрам в Европе.
Операторы Winter Vivern также воспользовались уязвимостью CVE-2020-35730 Roundcube XSS в период с августа по сентябрь 2023 года.
Тот же баг был использован российской группой кибершпионажа APT28, входящей в состав Главного разведывательного управления Генерального штаба России (ГРУ), для взлома почтовых серверов Roundcube, принадлежащих украинскому правительству.Хакеры Winter Vivern также воспользовались уязвимостью Zimbra CVE-2022-27926 XSS в начале 2023 года, чтобы нацелиться на страны НАТО и украсть электронные письма, принадлежащие правительствам, должностным лицам и военнослужащим НАТО.