Eine kritische Sicherheitsl\u00fccke im Webmailer Roundcube wurde bereits ausgenutzt, bevor die Entwickler einen Patch bereitstellen konnten. Um diese Schwachstelle zu beheben, wird IT-Verantwortlichen dringend empfohlen, aktuelle Softwarepakete zu installieren.<\/p>\n
Die Schwachstelle befindet sich in der Datei „program\/lib\/Roundcube\/rcube_washtml.php“ und handelt sich um eine sogenannte Cross-Site-Scripting-L\u00fccke (XSS). Diese entsteht durch die Verarbeitung von SVG-Grafiken in HTML-Nachrichten. Angreifer k\u00f6nnen durch manipulierte HTML-E-Mails beliebigen Javascript-Code laden und im Kontext des Nutzers ausf\u00fchren. Die Schwachstelle wird unter dem Namen CVE-2023-5631 gef\u00fchrt und weist eine mittlere Risikobewertung von 6.1 (CVSS) auf.<\/p>\n
Die Entwickler haben Sicherheitsupdates f\u00fcr Roundcube ver\u00f6ffentlicht, die die Mail-Software auf die Versionen 1.6.4, 1.5.5 und 1.4.15 bringen. Aktualisierte Pakete sind bereits f\u00fcr relevante Linux-Distributionen verf\u00fcgbar. Es wird dringend empfohlen, diese Updates umgehend zu installieren, um die Sicherheitsl\u00fccke zu schlie\u00dfen.<\/p>\n
Die Schwachstelle wurde sowohl von Mathie Faou, einem Mitarbeiter von Eset, als auch von dem IT-Forscher Denys Klymenko unabh\u00e4ngig voneinander gemeldet. Eset hat zudem in einer detaillierten Analyse festgestellt, dass es sich um eine bisher unbekannte Schwachstelle handelte, die von der Cyberkriminellen Gruppe Winter Vivern ausgenutzt wurde. Diese Gruppe hat Regierungsstellen und einen Think-Tank in Europa angegriffen.<\/p>\n
Die Angriffe begannen am 11. Oktober und wurden am 12. Oktober von Eset gemeldet. Das Roundcube-Team konnte die Schwachstelle am 14. Oktober beheben. Winter Vivern ist laut Eset eine Gruppe von Cyberspionen, die haupts\u00e4chlich Regierungen in Europa und Zentralasien ins Visier nimmt. Die Gruppe nutzt sch\u00e4dliche Dokumente, Phishing-Webseiten und eine speziell angepasste Powershell-Backdoor.<\/p>\n
Es wurde festgestellt, dass die Gruppe Verbindungen zu Russland und Belarus hat. Zuvor hatte sie bereits Sicherheitsl\u00fccken in der Groupware Zimbra ausgenutzt, um Zugang zu E-Mails von europ\u00e4ischen Milit\u00e4r-, Regierungs- und diplomatischen Organisationen zu erlangen. Eset zufolge hat die kriminelle Gruppe bereits im August und September eine weitere XSS-Schwachstelle in Roundcube, mit der Bezeichnung CVE-2020-35730, ausgenutzt. Auch die kriminelle Gruppe Sednit (APT28) hat diese Schwachstelle genutzt, teilweise mit denselben Zielen wie andere Organisationen.<\/p>\n
In der detaillierten Analyse von Eset sind weitere Informationen zu einer spezifischen Angriffs-E-Mail und Hinweise auf eine m\u00f6gliche Infektion (Indicators of Compromise, IOCs) verf\u00fcgbar. Um zu verhindern, dass Benutzer Opfer solcher Spionageangriffe werden, sollten Administratoren die aktualisierten Pakete so schnell wie m\u00f6glich installieren.<\/p>\n
Schlagw\u00f6rter: Roundcube + Sicherheitsl\u00fccke + Spionageangriffe<\/p>\n","protected":false},"excerpt":{"rendered":"
Eine kritische Sicherheitsl\u00fccke im Webmailer Roundcube wurde bereits ausgenutzt, bevor die Entwickler einen Patch bereitstellen konnten. Um diese Schwachstelle zu beheben, wird IT-Verantwortlichen dringend empfohlen, aktuelle Softwarepakete zu installieren. Die Schwachstelle befindet sich in der Datei „program\/lib\/Roundcube\/rcube_washtml.php“ und handelt sich um eine sogenannte Cross-Site-Scripting-L\u00fccke (XSS). Diese entsteht durch die Verarbeitung...<\/p>\n","protected":false},"author":4,"featured_media":738,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-739","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=739"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/739\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/738"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}