未知威胁参与者利用Roundcube Webmail漏洞进行网络钓鱼活动

Positive Technologies的研究人员警告称，未知威胁参与者试图利用开源Roundcube Webmail软件中一个现已修复的漏洞（CVE-2024-37383，CVSS评分：6.1）。攻击者利用此漏洞进行网络钓鱼活动，目标是窃取Roundcube用户的凭据。

2024年9月，Positive Technologies发现一封发送给独联体国家政府机构的邮件。时间戳分析表明，这封邮件发送于2024年6月。邮件内容为空，仅包含一个在邮件客户端中不可见的附件。邮件正文包含带有eval(atob(…))语句的独特标签，攻击者用它来解码和执行JavaScript代码。研究人员注意到属性名称（attributeName=”href “）包含多余的空格，这表明该邮件试图利用Roundcube Webmail中的CVE-2024-37383漏洞。

该漏洞影响1.5.7之前的Roundcube Webmail版本和1.6.x之前的1.6.7版本，攻击者可以通过SVG animate属性利用该漏洞进行XSS攻击。该漏洞已在2024年5月发布的1.5.7和1.6.7版本中得到修复。攻击者可以利用此漏洞在收件人网络浏览器的上下文中执行任意JavaScript代码。攻击者可以通过诱骗收件人使用存在漏洞的Roundcube客户端版本打开特制邮件来利用此漏洞。“当在“href”属性名称中添加额外的空格时，语法将不会被过滤，并将出现在最终文档中。在此之前，它将被格式化为{属性名称}={属性值}，”Positive Technologies发布的报告中写道。“通过将JavaScript代码作为“href”的值插入，我们可以在Roundcube客户端打开恶意邮件时在Roundcube页面上执行它。”研究人员还发布了此漏洞的概念验证利用代码。攻击中使用的JavaScript有效负载保存了一个空Word文档（“Road map.docx”），并使用ManageSieve插件从邮件服务器检索邮件。该攻击在Roundcube的界面中创建了一个伪造的登录表单，捕获用户凭据并将其发送到恶意服务器(libcdn.org)。

该域名于2024年注册。“Roundcube Webmail中的漏洞一直是网络罪犯的常见目标。最近一次此类攻击是与Winter Vivern组织相关的活动，该组织利用Roundcube中的XSS漏洞攻击多个欧洲国家的政府机构。然而，根据现有信息，本文描述的攻击无法与已知攻击者关联。”

报告总结道。“虽然Roundcube Webmail可能不是使用最广泛的电子邮件客户端，但由于政府机构普遍使用它，它仍然是黑客的目标。对该软件的攻击可能造成重大损害，允许网络罪犯窃取敏感信息。”

原文始发于微信公众号（黑猫安全）：未知威胁参与者利用Roundcube Webmail漏洞进行网络钓鱼活动