🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   
Đăng ký ngay

Tin tặc đang khai thác lỗ hổng XSS của Roundcube Webmail để đánh cắp thông tin đăng nhập

20/10/2024

Một số tác nhân đe dọa chưa xác định đang cố khai thác lỗ hổng bảo mật hiện đã được vá trong phần mềm webmail Roundcube nguồn mở trong một chiến dịch tấn công lừa đảo nhằm đánh cắp thông tin đăng nhập của người dùng.

Công ty bảo mật Positive Technologies cho biết vào tháng trước họ đã phát hiện rằng một email đã được gửi đến một tổ chức chính phủ có trụ sở tại một trong những quốc gia thuộc Cộng đồng các quốc gia độc lập (CIS). Tuy nhiên, tin nhắn ban đầu được gửi từ tháng 6 năm 2024.

"Email này có vẻ như là một tin nhắn không có văn bản, chỉ chứa một tài liệu đính kèm", báo cáo phân tích được công bố tuần trước cho biết.

"Đáng chú ý, ứng dụng email không hiển thị tệp đính kèm. Nội dung email chứa các thẻ đặc biệt với câu lệnh eval(atob(...)), giải mã và thực thi mã JavaScript."

Theo Positive Technologies, chuỗi tấn công khai thác CVE-2024-37383 (điểm CVSS: 6.1), một lỗ hổng stored XSS thông qua các thuộc tính SVG animate cho phép thực thi JavaScript tùy ý trên trình duyệt web của nạn nhân.

Nói cách khác, kẻ tấn công từ xa có thể tải mã JavaScript tùy ý và truy cập thông tin nhạy cảm chỉ bằng cách lừa người nhận email mở tin nhắn độc hại. Vấn đề này đã được giải quyết trong phiên bản 1.5.7 và 1.6.7.

Positive Technologies lưu ý rằng: "Bằng cách chèn mã JavaScript làm giá trị cho "href", chúng tôi có thể thực thi mã này trên trang Roundcube bất cứ khi nào máy khách Roundcube mở email độc hại".

Trong trường hợp này, mã JavaScript lưu tệp đính kèm Microsoft Word trống ("Road map.docx"), sau đó tiến hành lấy tin nhắn từ máy chủ thư bằng plugin ManageSieve. Nó cũng hiển thị biểu mẫu đăng nhập trong trang HTML cho người dùng nhằm lừa nạn nhân cung cấp thông tin xác thực Roundcube của họ.

Ở bước cuối, thông tin tên người dùng và mật khẩu đã thu thập được sẽ được truyền đến một máy chủ từ xa ("libcdn[.]org") được lưu trữ trên Cloudflare.

Hiện vẫn chưa rõ tác nhân đe dọa đứng sau hoạt động khai thác này, mặc dù các lỗ hổng trước đây được phát hiện trong Roundcube đã bị nhiều nhóm tin tặc như APT28, Winter Vivern và TAG-70 lạm dụng.

"Mặc dù webmail Roundcube có thể không phải là ứng dụng email được sử dụng rộng rãi nhất, nhưng nó vẫn là mục tiêu của tin tặc do được các cơ quan chính phủ sử dụng rộng rãi", công ty cho biết. "Các cuộc tấn công vào phần mềm này có thể gây ra thiệt hại đáng kể, cho phép tội phạm mạng đánh cắp thông tin nhạy cảm".

Người dùng cần thường xuyên theo dõi và nhanh chóng cập nhật bản vá bảo mật cho các sản phẩm, ứng dụng đang sử dụng ngay sau khi bản vá có sẵn, hoặc triển khai các giải pháp giảm thiểu khác theo khuyến nghị từ nhà cung cấp để giảm thiểu các nguy cơ bị tấn công.

Nguồn: thehackernews.com.

scrolltop