محققین امنیتی یک کمپین فیشینگ جدید کشف نموده اند که کاربران نرم افزار وب میل محبوب Roundcube را هدف قرار داده است.
این مهاجمان ناشناس از آسیب پذیری XSS برای سرقت اطلاعات لاگین قربانیان بهره برداری می کند. این آسیب پذیری با شماره CVE-2024-37383 بر روی نسخه های قبل از 1.5.7 و 1.6.x تا قبل از 1.6.7 اثر می گذارد.
این موضوع به مهاجم امکان اجرای کد جاوا اسکرپیت دلخواه را از طریق ارسال ایمیل های جعلی حاوی SVG مخرب، در مرورگر قربانی میدهد.
محققین امنیتی این حملات را در سپتامبر 2024 هنگام آنالیز یک ایمیل ارسال شده به سازمانی، شناسایی کرده اند. ایمیلی که ژوئن 2024 ارسال شده، بنظر خالی اما در واقع حاوی کدهای مخرب مخفی بوده است.
زمانیکه یک قربانی ایمیل مخربی را با استفاده از کلاینت Roundcube آسیب پذیر باز می کند، کد تزریق شده در اپلیکیشن وب میل اجرا می شود.
این پی لود مخرب چندین عملیات را انجام میدهد:
- یک سند ورد خالی با نام Road map.docx ایجاد می کند.
- تلاش می کند تا ایمیل ها را از میل سرور بازیابی کند.
- یک فرم جعلی لاگین در اینترفیس Roudcube ایجاد کرده و اطلاعات کاربر را ثبت می کند.
- یوزرنیم و پسوردهای به سرقت رفته را به سرور تحت کنترل مهاجم ارسال می کند.
این حمله نشان میدهد که چگونه ایمیل های به ظاهر بی ضرر می توانند هنگام هدف قرار دادن سیستم های به روز نشده، تهدیدات مهمی ایجاد کنند.
این آسیب پذیری در می 2024 وصله شد اما هنوز بسیاری از سازمانها از نسخه های آسیب پذیر استفاده می کنند.
این گونه حوادث اهمیت به روز رسانی های به موقع نرم افزارها مخصوصا آن دسته از نرم افزارهایی که اطلاعات حساسی دربردارند مانند ایمیل را نشان میدهد.
سازمانهایی که از راهکارهای وب میل استفاده می کند لازم است فرآیند مدیریت وصله ها را تقویت کرده و ارزیابی های امنیتی منظمی برای کاهش چنین خطراتی داشته باشند.
همانطور که تهدیدات سایبری در حال تکامل هستند، هوشمندی و به روز نگه داشتن نرم افزارها یکی از موثرترین روشهای دفاع در برابر سرقت اطلاعات و سایر فعالیت های مخربی است که سیستم های ایمیلی را هدف قرار میدهد.
منبع:
cybersecuritynews.com