Hackers están explotando la vulnerabilidad XSS de Roundcube Webmail para robar credenciales – Masterhacks Blog

Hackers están explotando la vulnerabilidad XSS de Roundcube Webmail para robar credenciales

Se ha detectado que actores de amenazas desconocidos están intentando explotar una vulnerabilidad de seguridad en el software de correo web de código abierto Roundcube, que ya ha sido corregida. Esta vulnerabilidad está siendo utilizada en ataques de phishing con el objetivo de robar credenciales de los usuarios.

La empresa rusa de ciberseguridad Positive Technologies reveló que, el mes pasado, encontró un correo electrónico enviado a una organización gubernamental no identificada en uno de los países de la Comunidad de Estados Independientes (CEI). Cabe destacar que el mensaje fue enviado originalmente en junio de 2024.

«El correo parecía no tener texto y solo contenía un documento adjunto», señaló la compañía en un análisis publicado esta semana.

«No obstante, el cliente de correo no mostraba el archivo adjunto. El cuerpo del mensaje incluía etiquetas distintivas con la instrucción eval(atob(…)), la cual decodifica y ejecuta código JavaScript.»

De acuerdo con Positive Technologies, la cadena de ataque intenta explotar la vulnerabilidad CVE-2024-37383 (puntuación CVSS: 6.1), que es una vulnerabilidad de tipo XSS (cross-site scripting) almacenada a través de atributos de animación SVG. Esto permite la ejecución de código JavaScript arbitrario en el navegador de la víctima.

En otras palabras, un atacante remoto podría ejecutar código JavaScript y acceder a información sensible al engañar a un usuario para que abra un correo diseñado específicamente para ese fin. El problema fue resuelto en las versiones 1.5.7 y 1.6.7, lanzadas en mayo de 2024.

«Insertando código JavaScript como valor de ‘href’, podemos activarlo en la página de Roundcube cuando un cliente de Roundcube abre un correo malicioso», explicó Positive Technologies.

La carga maliciosa de JavaScript, en este caso, guarda un archivo adjunto vacío de Microsoft Word («Road map.docx») y luego extrae mensajes del servidor de correo utilizando el complemento ManageSieve. Además, muestra un formulario de inicio de sesión en la página HTML, intentando engañar a los usuarios para que ingresen sus credenciales de Roundcube.

En la última fase del ataque, la información capturada de usuario y contraseña es enviada a un servidor remoto («libcdn[.]org«) alojado en Cloudflare.

Aún no se sabe quién está detrás de estos ataques, aunque vulnerabilidades anteriores en Roundcube han sido explotadas por grupos de hackers como APT28, Winter Vivern y TAG-70.

«Aunque Roundcube no es el cliente de correo más popular, sigue siendo un objetivo para los atacantes debido a su uso en agencias gubernamentales. Los ataques a este software pueden tener consecuencias graves, permitiendo a los ciberdelincuentes acceder a información sensible», mencionó la empresa.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *