У вересні 2024 року експерти з кібербезпеки компанії Positive Technologies виявили нову загрозу, спрямовану на державні установи країн СНД. Зловмисники намагалися експлуатувати вразливість CVE-2024-37383 у популярному поштовому клієнті Roundcube Webmail через фішингову атаку. Ця подія підкреслює важливість постійної пильності та своєчасного оновлення програмного забезпечення для захисту від кіберзагроз.
Анатомія атаки: як працює експлойт
Атака розпочалася з відправки шкідливого електронного листа, який на перший погляд здавався порожнім. Однак при детальному аналізі виявилося, що лист містив приховане вкладення та спеціально сформовані HTML-теги. Ці теги включали JavaScript-код, закодований за допомогою функції eval(atob(…)), що дозволяло виконати довільний код у браузері жертви.
Ознаки експлуатації CVE-2024-37383
Ключовою ознакою спроби експлуатації уразливості CVE-2024-37383 стала наявність атрибута з додатковим пробілом: attributeName=”href “. Ця деталь вказує на цілеспрямовану атаку на вразливі версії Roundcube Webmail (до 1.5.6 або від 1.6 до 1.6.6).
Механізм дії та потенційні наслідки
CVE-2024-37383 є XSS-уразливістю (міжсайтовий скриптинг), яка дозволяє зловмисникам виконувати довільний JavaScript-код у браузері користувача. Для успішної атаки достатньо, щоб жертва просто відкрила шкідливий лист у вразливій версії Roundcube Webmail.
Аналіз шкідливого коду показав, що атакуючі намагалися:
- Отримати доступ до повідомлень з поштового сервера через плагін ManageSieve
- Додати фальшиву форму авторизації для крадіжки облікових даних користувача
Експерти припускають, що зловмисники розраховували на автозаповнення полів авторизації або на те, що користувач самостійно введе свої дані, вважаючи це необхідною повторною авторизацією.
Історичний контекст та потенційні загрози
Уразливості в Roundcube Webmail неодноразово використовувалися різними хакерськими групами, включаючи APT28, Winter Vivern та TAG-70. Хоча поточну атаку поки не вдалося пов’язати з конкретним зловмисником, її складність та цільовий характер вказують на можливу причетність досвідчених кіберзлочинців.
Ця подія нагадує про критичну важливість своєчасного оновлення програмного забезпечення та впровадження комплексних заходів кібербезпеки. Організаціям рекомендується регулярно проводити аудит своїх систем, навчати співробітників розпізнавати фішингові атаки та використовувати багатофакторну автентифікацію для захисту облікових записів. Лише комплексний підхід до кібербезпеки може забезпечити надійний захист від постійно еволюціонуючих загроз у цифровому просторі.