Hackers exploit Roundcube webmail flaw to steal email, credentials

脅威行為者は、旧ソビエト連邦の後継国である独立国家共同体(CIS)地域の政府組織を標的に、Roundcube Webmailクライアントの脆弱性を悪用していた。

攻撃は9月にロシアのサイバーセキュリティ企業Positive Technologiesによって発見されたが、研究者は脅威行為者の活動が6月に始まっていたと判断した。

Roundcube WebmailはオープンソースのPHPベースのウェブメールソリューションで、機能を拡張するためのプラグインをサポートしており、営利団体や政府機関に人気がある。

脅威行為者は、CVE-2024-37383として特定された中程度の深刻度で保存されたXSS(クロスサイトスクリプティング)の脆弱性を悪用し、特別に細工されたメールを開いた際に、Roundcubeのページ上で悪意のあるJavaScriptコードが実行される可能性があります。

この問題は、メール内の SVG 要素の不適切な処理によって引き起こされ、構文チェックが回避され、悪意のあるコードがユーザページ上で実行される可能性があります。

「空」の電子メールが認証情報を盗む

PositiveTechnologiesの報告によると、この攻撃では、目に見えるコンテンツがなく、.DOCの添付ファイルのみのメールが使用されていました。しかし、脅威者は、クライアントが処理するコード内に隠されたペイロードを埋め込みますが、特定のタグ(この場合は「<animate>」)に基づいてメッセージ本文には表示されません。

Email sent to targets
ターゲットに送信された電子メール
ソースポジティブ・テクノロジーズ

ペイロードは、”href “値として偽装されたbase64エンコードされたJavaScriptコードの一部です。被害者の注意をそらすために、メールサーバーからおとり文書(Road map.doc)をダウンロードします。

同時に、HTMLページに不正なログインフォームを注入し、メールサーバーにメッセージを要求する。

「ユーザーに表示されるHTMLページに、rcmloginuserとrcmloginpwd(Roundcubeクライアントのユーザーのログイン名とパスワード)というフィールドを持つ認証フォームが追加されます。

研究者によると、脅威の実行者は、この2つのフィールドが手動または自動で入力され、ターゲットのアカウント認証情報が取得されることを期待している。

その場合、データは最近登録され、Cloudflareインフラストラクチャでホストされている “libcdn[.]org “のリモートサーバーに送信されます。

さらに、攻撃者はManageSieveプラグインを使用して、メールサーバーからメッセージを流出させると研究者は述べている。

Attempted data exfiltration
データ流出の試み
ソースはこちら:ポジティブ・テクノロジーズ

Roundcubeのセキュリティ確保

CVE-2024-37383は、Roundcubeの1.5.6より前のバージョン、および1.6から1.6.6までのバージョンに影響するため、これらのバージョンを使用しているシステム管理者は、できるだけ早くアップデートすることが推奨される。

この脆弱性は、5月19日にリリースされたRoundcube Webmail1.5.7および1.6.7で対処されている。アップグレードが推奨される最新バージョンは、9月1日にリリースされた1.6.9です。

Roundcubeの欠陥は、重要な組織がオープンソースのツールを使用しているため、ハッカーに狙われることが多い。

今年初め、CISAは、Roundcubeの別のXSSバグであるCVE-2023-43770を狙うハッカーについて警告し、連邦政府組織に2週間のパッチ適用期間を与えた。

2023年10月には、「Winter Vivern」として知られるロシアのハッカーが、CVE-2023-5631として追跡されているRoundcubeのゼロデイXSS欠陥を悪用して、ヨーロッパの政府機関やシンクタンクに侵入しているのが観測されている。

2023年6月には、APT28グループのGRUハッカーが4つのRoundcubeの欠陥を悪用し、政府機関を含むウクライナの複数の組織が使用する電子メールサーバーから情報を盗み出しました。