Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về các lỗ hổng bảo mật trong phần mềm webmail Roundcube có thể bị khai thác để thực thi JavaScript độc hại trong trình duyệt web của nạn nhân và đánh cắp thông tin nhạy cảm từ tài khoản của họ trong những trường hợp cụ thể.
"Khi nạn nhân xem một email độc hại trong Roundcube được gửi bởi kẻ tấn công, kẻ tấn công có thể thực thi JavaScript tùy ý trong trình duyệt của nạn nhân", công ty an ninh mạng Sonar cho biết trong một phân tích được công bố trong tuần này.
"Những kẻ tấn công có thể lạm dụng lỗ hổng để đánh cắp email, danh bạ và mật khẩu email của nạn nhân cũng như gửi email từ tài khoản của nạn nhân."
Sau khi tiết lộ có trách nhiệm vào ngày 18 tháng 6 năm 2024, ba lỗ hổng đã được giải quyết trong các phiên bản Roundcube 1.6.8 và 1.5.8 được phát hành vào ngày 4 tháng 8 năm 2024.
Danh sách các lỗ hổng như sau -
- CVE-2024-42008 - Lỗ hổng kịch bản chéo trang web thông qua tệp đính kèm email độc hại được phân phối với tiêu đề Loại nội dung nguy hiểm
- CVE-2024-42009 - Lỗ hổng kịch bản chéo trang phát sinh từ quá trình xử lý hậu kỳ nội dung HTML đã được khử trùng
- CVE-2024-42010 - Lỗ hổng tiết lộ thông tin bắt nguồn từ việc lọc CSS không đủ
Khai thác thành công các lỗ hổng nói trên có thể cho phép những kẻ tấn công chưa được xác thực đánh cắp email và danh bạ, cũng như gửi email từ tài khoản của nạn nhân, nhưng sau khi xem một email được chế tạo đặc biệt trong Roundcube.
"Những kẻ tấn công có thể có được chỗ đứng liên tục trong trình duyệt của nạn nhân qua các lần khởi động lại, cho phép chúng trích xuất email liên tục hoặc đánh cắp mật khẩu của nạn nhân vào lần tiếp theo", nhà nghiên cứu bảo mật Oskar Zeino-Mahmalat cho biết.
"Để tấn công thành công, không cần tương tác người dùng ngoài việc xem email của kẻ tấn công để khai thác lỗ hổng XSS nghiêm trọng (CVE-2024-42009). Đối với CVE-2024-42008, một cú nhấp chuột của nạn nhân là cần thiết để khai thác hoạt động, nhưng kẻ tấn công có thể làm cho tương tác này không rõ ràng đối với người dùng.
Các chi tiết kỹ thuật bổ sung về các vấn đề đã được giữ lại để người dùng có thời gian cập nhật lên phiên bản mới nhất và thực tế là các lỗ hổng trong phần mềm webmail đã liên tục bị khai thác bởi các tác nhân quốc gia như APT28, Winter Vivern và TAG-70.
Các phát hiện được đưa ra khi các chi tiết đã xuất hiện về lỗ hổng leo thang đặc quyền cục bộ mức độ nghiêm trọng tối đa trong dự án mã nguồn mở RaspAP (CVE-2024-41637, điểm CVSS: 10.0) cho phép kẻ tấn công nâng cao để root và thực hiện một số lệnh quan trọng. Lỗ hổng bảo mật đã được giải quyết trong phiên bản 3.1.5.
"Người dùng www-data có quyền truy cập ghi vào tệp restapi.service và cũng sở hữu đặc quyền sudo để thực hiện một số lệnh quan trọng mà không cần mật khẩu", một nhà nghiên cứu bảo mật có bí danh trực tuyến 0xZon1 cho biết. "Sự kết hợp các quyền này cho phép kẻ tấn công sửa đổi dịch vụ để thực thi mã tùy ý với các đặc quyền root, leo thang quyền truy cập của chúng từ www-data sang root."