Pesquisadores de segurança cibernética divulgaram detalhes de falhas de segurança no software program de webmail Roundcube que podem ser exploradas para executar JavaScript malicioso no navegador da vítima e roubar informações confidenciais de sua conta em circunstâncias específicas.
“Quando uma vítima visualiza um e-mail malicioso no Roundcube enviado por um invasor, o invasor pode executar JavaScript arbitrário no navegador da vítima”, disse a empresa de segurança cibernética Sonar em uma análise publicada esta semana.
“Os invasores podem explorar a vulnerabilidade para roubar e-mails, contatos e a senha de e-mail da vítima, além de enviar e-mails da conta da vítima.”
Após divulgação responsável em 18 de junho de 2024, as três vulnerabilidades foram corrigidas nas versões 1.6.8 e 1.5.8 do Roundcube lançadas em 4 de agosto de 2024.
A lista de vulnerabilidades é a seguinte:
- CVE-2024-42008 – Uma falha de script entre websites por meio de um anexo de e-mail malicioso servido com um cabeçalho Content material-Kind perigoso
- CVE-2024-42009 – Uma falha de script entre websites que surge do pós-processamento de conteúdo HTML higienizado
- CVE-2024-42010 – Uma falha de divulgação de informações que decorre de filtragem CSS insuficiente
A exploração bem-sucedida das falhas mencionadas acima pode permitir que invasores não autenticados roubem e-mails e contatos, bem como enviem e-mails da conta da vítima, mas depois de visualizar um e-mail especialmente criado no Roundcube.
“Os invasores podem obter uma posição persistente no navegador da vítima após reinicializações, permitindo que eles extraiam e-mails continuamente ou roubem a senha da vítima na próxima vez que ela for digitada”, disse o pesquisador de segurança Oskar Zeino-Mahmalat.
“Para um ataque bem-sucedido, nenhuma interação do usuário além de visualizar o e-mail do invasor é necessária para explorar a vulnerabilidade crítica do XSS (CVE-2024-42009). Para o CVE-2024-42008, um único clique da vítima é necessário para que a exploração funcione, mas o invasor pode tornar essa interação não óbvia para o usuário.”
Detalhes técnicos adicionais sobre os problemas foram omitidos para dar tempo aos usuários de atualizarem para a versão mais recente, e tendo em vista que falhas no software program de webmail foram repetidamente exploradas por agentes estatais como APT28, Winter Vivern e TAG-70.
As descobertas surgem à medida que detalhes surgiram sobre uma falha de escalonamento de privilégio native de gravidade máxima no projeto de código aberto RaspAP (CVE-2024-41637, pontuação CVSS: 10,0) que permite que um invasor eleve para root e execute vários comandos críticos. A vulnerabilidade foi corrigida na versão 3.1.5.
“O usuário www-data tem acesso de gravação ao arquivo restapi.service e também possui privilégios sudo para executar vários comandos críticos sem uma senha”, disse um pesquisador de segurança que atende pelo alias on-line 0xZon1. “Essa combinação de permissões permite que um invasor modifique o serviço para executar código arbitrário com privilégios de root, escalando seu acesso de www-data para root.”