Cybersecurity-onderzoekers hebben details bekendgemaakt over beveiligingslekken in de Roundcube-webmailsoftware. Deze kunnen worden misbruikt om kwaadaardige JavaScript-code uit te voeren in de webbrowser van slachtoffers en om onder bepaalde omstandigheden gevoelige informatie van hun account te stelen.
“Wanneer een slachtoffer een schadelijke e-mail in Roundcube bekijkt die door een aanvaller is verzonden, kan de aanvaller willekeurige JavaScript uitvoeren in de browser van het slachtoffer”, aldus cybersecuritybedrijf Sonar in een deze week gepubliceerde analyse.
“Aanvallers kunnen misbruik maken van de kwetsbaarheid om e-mails, contacten en het e-mailwachtwoord van het slachtoffer te stelen en e-mails te versturen vanaf het account van het slachtoffer.”
Na de verantwoorde openbaarmaking op 18 juni 2024 zijn de drie kwetsbaarheden verholpen in Roundcube-versies 1.6.8 en 1.5.8, die op 4 augustus 2024 zijn uitgebracht.
De lijst met kwetsbaarheden is als volgt:
- CVE-2024-42008 – Een cross-site scripting-fout via een schadelijke e-mailbijlage met een gevaarlijke Content-Type-header
- CVE-2024-42009 – Een cross-site scripting-fout die ontstaat door de nabewerking van gesaneerde HTML-inhoud
- CVE-2024-42010 – Een fout in de openbaarmaking van informatie die voortkomt uit onvoldoende CSS-filtering
Als de hierboven genoemde fouten succesvol worden uitgebuit, kunnen niet-geverifieerde aanvallers e-mails en contacten stelen en e-mails versturen vanaf het account van een slachtoffer, maar dan wel nadat ze een speciaal samengestelde e-mail in Roundcube hebben bekeken.
“Aanvallers kunnen een vaste voet aan de grond krijgen in de browser van het slachtoffer, ook als deze opnieuw wordt opgestart. Zo kunnen ze voortdurend e-mails stelen of het wachtwoord van het slachtoffer stelen als hij of zij het de volgende keer invoert”, aldus beveiligingsonderzoeker Oskar Zeino-Mahmalat.
“Voor een succesvolle aanval is geen gebruikersinteractie vereist, behalve het bekijken van de e-mail van de aanvaller, om de kritieke XSS-kwetsbaarheid (CVE-2024-42009) te exploiteren. Voor CVE-2024-42008 is één enkele klik door het slachtoffer nodig om de exploit te laten werken, maar de aanvaller kan deze interactie onopvallend maken voor de gebruiker.”
Er zijn geen verdere technische details over de problemen bekendgemaakt, zodat gebruikers voldoende tijd hebben om te updaten naar de nieuwste versie. Ook is er al herhaaldelijk misbruik gemaakt van fouten in de webmailsoftware door nationale actoren zoals APT28, Winter Vivern en TAG-70.
De bevindingen komen nu er details naar buiten zijn gekomen over een lokale privilege-escalatiefout met maximale ernst in het open-sourceproject RaspAP (CVE-2024-41637, CVSS-score: 10,0) waarmee een aanvaller root kan worden en verschillende kritieke opdrachten kan uitvoeren. De kwetsbaarheid is aangepakt in versie 3.1.5.
“De www-data-gebruiker heeft schrijftoegang tot het restapi.service-bestand en bezit ook sudo-privileges om verschillende kritieke opdrachten uit te voeren zonder wachtwoord”, aldus een beveiligingsonderzoeker die de online alias 0xZon1 gebruikt. “Deze combinatie van machtigingen stelt een aanvaller in staat om de service te wijzigen om willekeurige code uit te voeren met root-privileges, waardoor hun toegang van www-data naar root wordt uitgebreid.”