Schwachstelle im Webmailer Roundcube bereits erfolgreich ausgenutzt

Eine kritische Sicherheitslücke im Webmailer Roundcube wurde bereits ausgenutzt, bevor die Entwickler einen Patch bereitstellen konnten. Um diese Schwachstelle zu beheben, wird IT-Verantwortlichen dringend empfohlen, aktuelle Softwarepakete zu installieren.

Die Schwachstelle befindet sich in der Datei „program/lib/Roundcube/rcube_washtml.php“ und handelt sich um eine sogenannte Cross-Site-Scripting-Lücke (XSS). Diese entsteht durch die Verarbeitung von SVG-Grafiken in HTML-Nachrichten. Angreifer können durch manipulierte HTML-E-Mails beliebigen Javascript-Code laden und im Kontext des Nutzers ausführen. Die Schwachstelle wird unter dem Namen CVE-2023-5631 geführt und weist eine mittlere Risikobewertung von 6.1 (CVSS) auf.

Die Entwickler haben Sicherheitsupdates für Roundcube veröffentlicht, die die Mail-Software auf die Versionen 1.6.4, 1.5.5 und 1.4.15 bringen. Aktualisierte Pakete sind bereits für relevante Linux-Distributionen verfügbar. Es wird dringend empfohlen, diese Updates umgehend zu installieren, um die Sicherheitslücke zu schließen.

Die Schwachstelle wurde sowohl von Mathie Faou, einem Mitarbeiter von Eset, als auch von dem IT-Forscher Denys Klymenko unabhängig voneinander gemeldet. Eset hat zudem in einer detaillierten Analyse festgestellt, dass es sich um eine bisher unbekannte Schwachstelle handelte, die von der Cyberkriminellen Gruppe Winter Vivern ausgenutzt wurde. Diese Gruppe hat Regierungsstellen und einen Think-Tank in Europa angegriffen.

Die Angriffe begannen am 11. Oktober und wurden am 12. Oktober von Eset gemeldet. Das Roundcube-Team konnte die Schwachstelle am 14. Oktober beheben. Winter Vivern ist laut Eset eine Gruppe von Cyberspionen, die hauptsächlich Regierungen in Europa und Zentralasien ins Visier nimmt. Die Gruppe nutzt schädliche Dokumente, Phishing-Webseiten und eine speziell angepasste Powershell-Backdoor.

Es wurde festgestellt, dass die Gruppe Verbindungen zu Russland und Belarus hat. Zuvor hatte sie bereits Sicherheitslücken in der Groupware Zimbra ausgenutzt, um Zugang zu E-Mails von europäischen Militär-, Regierungs- und diplomatischen Organisationen zu erlangen. Eset zufolge hat die kriminelle Gruppe bereits im August und September eine weitere XSS-Schwachstelle in Roundcube, mit der Bezeichnung CVE-2020-35730, ausgenutzt. Auch die kriminelle Gruppe Sednit (APT28) hat diese Schwachstelle genutzt, teilweise mit denselben Zielen wie andere Organisationen.

In der detaillierten Analyse von Eset sind weitere Informationen zu einer spezifischen Angriffs-E-Mail und Hinweise auf eine mögliche Infektion (Indicators of Compromise, IOCs) verfügbar. Um zu verhindern, dass Benutzer Opfer solcher Spionageangriffe werden, sollten Administratoren die aktualisierten Pakete so schnell wie möglich installieren.

Schlagwörter: Roundcube + Sicherheitslücke + Spionageangriffe

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 25. Oktober 2023
FEHLER!