Sfruttamento della Vulnerabilità CVE-2024-37383 in Roundcube Webmail

È stata rilevata una vulnerabilità di tipo Cross-Site Scripting (CVE-2024-37383) nel client di posta elettronica open-source Roundcube Webmail. Questa falla, già corretta nelle versioni 1.5.7 e 1.6.7, consente l'esecuzione di codice JavaScript malevolo tramite email manipolate, mettendo a rischio credenziali e dati sensibili degli utenti. Aggiornamenti immediati sono raccomandati per mitigare il rischio.

Dettagli della vulnerabilità

• Tipologia: Cross-Site Scripting (XSS), con punteggio CVSS v3 pari a 6.1.

• Impatto: Consente l'esecuzione di codice JavaScript arbitrario, il furto di credenziali e l'accesso a informazioni sensibili.

• Versioni affette:

  • Roundcube 1.6.x (prima della versione 1.6.7).

  • Tutte le versioni precedenti alla 1.5.7.

Modalità di sfruttamento

Gli attacchi sfruttano email appositamente create con codice JavaScript nascosto nei tag SVG. Aprendo tali email, il codice malevolo viene eseguito nel browser dell'utente, consentendo agli attaccanti di:

• Inserire moduli di login falsi per sottrarre credenziali.

• Accedere ai contenuti delle caselle email tramite plugin come ManageSieve.

• Esfiltrare dati verso server controllati dagli attaccanti (es. libcdn.org).

Campagne note

La vulnerabilità è stata sfruttata in campagne di phishing mirate contro organizzazioni governative, in particolare nella regione della Comunità degli Stati Indipendenti (CIS), con l'obiettivo di rubare credenziali e informazioni riservate.

Fonti: ACN, Fieldeffect, HelpNetSecurity