L’attore della minaccia Winter Vivern avrebbe sfruttato una falla zero-day nel software di posta elettronica open source Roundcube per raccogliere messaggi di posta elettronica dagli account delle vittime. La nuova vulnerabilità di sicurezza sfruttata sarebbe CVE-2023-5631 (punteggio CVSS: 5,4) un difetto cross-site scripting XSS che potrebbe consentire a un utente malintenzionato remoto di caricare codice JavaScript arbitrario.
Winter Vivern
Winter Vivern è un gruppo nation-state in linea con Bielorussia e Russia al quale negli ultimi mesi sarebbero stati attribuiti degli attacchi contro enti governativi in Europa e India. Inoltre avrebbe già sfruttato in passato altre vulnerabilità su Roundcube e Zimbra.
La catena d’attacco
La catena di attacco inizia con un messaggio di posta elettronica di phishing che incorpora nel codice sorgente HTML, un payload codificato Base64 e decodificato con un’iniezione JavaScript da un server C2 remoto sfruttando il difetto XSS.
È possibile infatti notare nel codice HTML della e-mail, un tag <svg> poco prima del tag </html> che contiene un payload con codifica base64, richiamato dall’attributo href del tag <use>, ovvero un codice javascript di seconda fase (checkupdate.js) che verrà eseguito nel browser della vittima durante una sessione Roundcube, per caricare un javascript finale deputato ad esfiltrare messaggi e-mail verso il server C2 tramite richieste HTTP.
“Sorprendentemente, abbiamo notato che l’iniezione JavaScript funzionava su un’istanza Roundcube completamente patchata. Si è scoperto che si trattava di una vulnerabilità XSS zero-day che interessava lo script lato server rcube_washtml.php , che non sanitizza adeguatamente il documento SVG dannoso prima di essere aggiunto alla pagina HTML interpretata localmente da un utente Roundcube.“, afferma il ricercatore ESET Matthieu Faou.
Aggiornare subito
La vulnerabilità colpisce le versioni Roundcube 1.6.x prima della 1.6.4, 1.5.x prima della 1.5.5 e 1.4.x prima della 1.4.15. La falla sfruttata l’11 ottobre 2023 dall’attore malevolo, dopo la segnalazione ESET è stata sanata da Roundcube il 14 ottobre 2023 con un update. Si consiglia pertanto di aggiornare Roundcube Webmail all’ultima versione disponibile il prima possibile.