В киберпространстве зафиксирована попытка злоумышленников воспользоваться уязвимостью в Roundcube – популярном почтовом веб-клиенте с открытым исходным кодом. Специалисты Positive Technologies обнаружили,что в июне 2024 года в один из государственных органов страны СНГ было отправлено фишинговое письмо. При этом сообщение выглядело пустым и не содержало видимого текста, кроме вложения.
Однако анализ показал, что письмо включало специфические теги с кодом eval(atob(…)), позволяющим запускать JavaScript прямо в браузере получателя. Этот подход использовал уязвимость CVE-2024-37383 – Stored XSS через SVG-анимацию, оценённый на 6.1 балла по шкале CVSS.
Проблема заключалась в том, что злоумышленники могли внедрить произвольный JavaScript в качестве значения для “href” и активировать его при открытии письма. Вредоносный код сохранял пустое вложение Word (“Road map.docx”), а затем обращался к почтовому серверу через плагин ManageSieve для получения сообщений.
В дальнейшем на странице почтового клиента отображалась фальшивая форма входа, имитирующая интерфейс Roundcube. После ввода логина и пароля данные пересылались на удалённый сервер libcdn[.]org, хостинг которого предоставлялся Cloudflare.
Хотя не удалось точно определить, какие конкретно злоумышленники стояли за этой атакой, ранее в операциях, нацеленных на Roundcube, уже уличали группы APT28, Winter Vivern и TAG-70. В Positive Technologies подчёркивают, что несмотря на ограниченное распространение Roundcube, данный почтовый клиент активно используется в правительственных учреждениях, что делает его привлекательной целью для кибератак.
Уязвимость была устранена в версиях 1.5.7 и 1.6.7, выпущенных в мае 2024 года.