Istraživači cyber sigurnosti otkrili su detalje sigurnosnih propusta u softveru za web poštu Roundcube koji bi se mogao iskoristiti za izvršavanje zlonamjernog JavaScripta u web pretraživaču žrtve i krađu osjetljivih informacija s njihovog naloga pod određenim okolnostima.
“Kada žrtva pogleda zlonamjernu e-poštu u Roundcubeu koju je poslao napadač, napadač može izvršiti proizvoljni JavaScript u žrtvinom pretraživaču”, rekla je kompanija za cyber sigurnost Sonar u analizi objavljenoj ove sedmice.
“Napadači mogu zloupotrijebiti ranjivost da ukradu mejlove, kontakte i lozinku za e-poštu žrtve, kao i da šalju e-poštu sa žrtvinog naloga.”
Nakon odgovornog otkrivanja 18. juna 2024., tri ranjivosti su riješene u Roundcube verzijama 1.6.8 i 1.5.8 objavljenim 4. avgusta 2024.
Lista ranjivosti je sljedeća:
- CVE-2024-42008 – Greška u skriptiranju na više lokacija putem zlonamjernog priloga e-pošte koji se šalje s opasnim zaglavljem tipa sadržaja
- CVE-2024-42009 – Greška skriptiranja na više lokacija koja proizlazi iz naknadne obrade pročišćenog HTML sadržaja
- CVE-2024-42010 – Greška u otkrivanju informacija koja proizlazi iz nedovoljnog CSS filtriranja
Uspješno iskorištavanje gore navedenih nedostataka moglo bi omogućiti neautoriziranim napadačima da ukradu mejlove i kontakte, kao i da pošalju e-poštu sa naloga žrtve, ali nakon pregleda posebno kreirane e-pošte u Roundcubeu.
“Napadači mogu steći postojano uporište u pretraživaču žrtve nakon ponovnog pokretanja, što im omogućava da kontinuirano eksfiltriraju e-poštu ili ukradu lozinku žrtve kada je sljedeći put unese”, rekao je istraživač sigurnosti Oskar Zeino-Mahmalat.
“Za uspješan napad nije potrebna nikakva korisnička interakcija osim pregleda e-pošte napadača da bi se iskoristila kritična XSS ranjivost (CVE-2024-42009). Za CVE-2024-42008, potreban je jedan klik žrtve da bi eksploatacija funkcionirala , ali napadač može učiniti ovu interakciju neočiglednom za korisnika.”
Dodatni tehnički detalji o problemima su zadržani kako bi se korisnicima dalo vremena da se ažuriraju na najnoviju verziju, a u svjetlu činjenice da su nedostatke u softveru web pošte više puta iskorištavali hakeri nacionalnih država kao što su APT28, Winter Vivern i TAG -70 .
Nalazi dolaze nakon što su se pojavili detalji o maksimalnoj ozbiljnosti propusta u eskalaciji lokalnih privilegija u projektu otvorenog koda RaspAP ( CVE-2024-41637 , CVSS rezultat: 10.0) koji omogućava napadaču da se podigne na root i izvrši nekoliko kritičnih komandi. Ranjivost je riješena u verziji 3.1.5.
„Korisnik www-data ima pristup za pisanje restapi.service fajlu i takođe poseduje sudo privilegije da izvrši nekoliko kritičnih komandi bez lozinke“, rekao je istraživač sigurnosti koji se zove online alias 0xZon1 . “Ova kombinacija dozvola omogućava napadaču da modificira uslugu za izvršavanje proizvoljnog koda s root privilegijama, eskalirajući njihov pristup sa www-data na root.”
Izvor:The Hacker News