Roundcube Webmail 缺陷允许黑客窃取电子邮件和密码

网络安全研究人员披露了 Roundcube 网络邮件软件中安全漏洞的详细信息，该软件可被利用在受害者的网络浏览器中执行恶意 JavaScript，并在特定情况下从其账户中窃取敏感信息。

网络安全公司 Sonar 在本周发布的一份分析报告中表示：“当受害者在 Roundcube 中查看攻击者发送的恶意电子邮件时，攻击者可以在受害者的浏览器中执行任意 JavaScript。”

“攻击者可以利用该漏洞窃取电子邮件、联系人和受害者的电子邮件密码，以及从受害者的账户发送电子邮件。”

继 2024 年 6 月 18 日负责任地披露后，这三个漏洞已在 2024 年 8 月 4 日发布的 Roundcube 版本 1.6.8 和 1.5.8 中得到解决。

漏洞列表如下——

CVE-2024-42008 - 通过带有危险 Content-Type 标头的恶意电子邮件附件造成的跨站点脚本缺陷
CVE-2024-42009 - 由于对净化后的 HTML 内容进行后处理而产生的跨站点脚本缺陷
CVE-2024-42010 - 由于 CSS 过滤不足而导致的信息泄露缺陷
成功利用上述缺陷可能会允许未经身份验证的攻击者窃取电子邮件和联系人信息，以及从受害者的账户发送电子邮件，但前提是在 Roundcube 中查看了特制的电子邮件。

安全研究员 Oskar Zeino-Mahmalat 表示：“攻击者可以在受害者的浏览器重新启动后获得持久的立足点，从而使他们能够持续窃取电子邮件或在受害者下次输入密码时窃取密码。”

“对于成功的攻击，除了查看攻击者的电子邮件之外，无需用户交互即可利用关键的 XSS 漏洞 (CVE-2024-42009)。对于 CVE-2024-42008，受害者只需单击一下即可利用该漏洞，但攻击者可以使这种交互对用户来说不明显。”

有关这些问题的更多技术细节已被隐瞒，以便让用户有时间更新到最新版本，并且考虑到网络邮件软件中的缺陷已被 APT28、Winter Vivern 和 TAG-70 等国家级黑客组织反复利用。

调查结果发布之际，有关 RaspAP 开源项目（CVE-2024-41637，CVSS 评分：10.0）中最严重本地权限升级缺陷的详细信息已经浮出水面，该缺陷允许攻击者提升到 root 权限并执行多个关键命令。该漏洞已在 3.1.5 版本中得到解决。

一位在线别名为 0xZon1 的安全研究人员说道：“www-data 用户拥有对 restapi.service 文件的写入权限，并且还拥有 sudo 权限，可以在没有密码的情况下执行多个关键命令。这种权限组合允许攻击者修改服务以使用 root 权限执行任意代码，从而将他们的访问权限从 www-data 升级到 root。”