黑客在一次网络钓鱼攻击中利用已打补丁的 Roundcube 漏洞,从开源网络邮件软件中窃取用户凭证。
来自 Positive Technologies 的研究人员警告说,未知的威胁行为者试图利用开源 Roundcube Webmail 软件中一个现已打补丁的漏洞,该漏洞被追踪为 CVE-2024-37383(CVSS 得分:6.1)。
攻击者利用该漏洞作为网络钓鱼活动的一部分,旨在窃取 Roundcube 用户的凭据。
2024 年 9 月,Positive Technologies 发现了一封发送给独联体国家政府组织的电子邮件。对时间戳的分析表明,该电子邮件发送于 2024 年 6 月。电子邮件的内容是空的,邮件中只有一个附件,在电子邮件客户端中看不到。
电子邮件正文包含独特的标签,其中包含攻击者用来解码和执行 JavaScript 代码的语句 eval(atob(…))。研究人员注意到,属性名称(attributeName=“href”)包含一个额外的空格,这表明该电子邮件试图利用 Roundcube Webmail 中的 CVE-2024-37383 漏洞。
该漏洞影响1.5.7之前的Roundcube Webmail和1.6.7之前的1.6.x,攻击者可利用该漏洞通过SVG animate属性进行XSS攻击。2024 年 5 月發佈的 1.5.7 及 1.6.7 版本已修復漏洞。
攻击者可利用该漏洞在接收者网络浏览器的上下文中执行任意 JavaScript 代码。
攻击者可通过诱骗收件人使用存在漏洞的 Roundcube 客户端版本打开特制电子邮件来利用该漏洞。
“当在 “href ”属性名称中添加额外空格时,语法将不会被过滤,并将出现在最终文档中。在此之前,它的格式为{属性名} = {属性值}”,Positive Technologies 发布的报告如是说。“通过插入 JavaScript 代码作为 “href ”的值,每当 Roundcube 客户端打开恶意电子邮件时,我们就可以在 Roundcube 页面上执行该代码。”
研究人员还公布了针对该漏洞的 PoC 漏洞利用代码。
攻击中使用的 JavaScript 有效载荷会保存一个空 Word 文档(“Road map.docx”),并使用 ManageSieve 插件从邮件服务器检索邮件。
该攻击在 Roundcube 界面中创建了一个虚假登录表单,捕获用户凭据并将其发送到恶意服务器(libcdn.org)。该域名注册于 2024 年。
“Roundcube Webmail 中的漏洞一直是网络犯罪分子频繁攻击的目标。最近的一次此类攻击与 Winter Vivern 组织有关,该组织利用 Roundcube 中的 XSS 漏洞攻击欧洲多个国家的政府组织。然而,根据现有信息,本文中描述的攻击无法与已知行为者联系起来。尽管 Roundcube Webmail 可能不是使用最广泛的电子邮件客户端,但由于政府机构普遍使用,它仍然是黑客攻击的目标。对该软件的攻击可能会导致重大损失,使网络犯罪分子得以窃取敏感信息。”
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容