Компанія ESET — лідер у галузі інформаційної безпеки — виявила використання «0-денної» уразливості XSS на сервері вебпошти Roundcube групою кіберзлочниців Winter Vivern. Згідно з даними телеметрії ESET, цілями зловмисників були сервери вебпошти Roundcube, які належать державним установам та аналітичному центру в Європі. Тому спеціалісти ESET рекомендують якомога швидше оновити вебпошту Roundcube до актуальної версії.
Дослідники ESET виявили уразливість 12 жовтня 2023 року та відразу повідомили про це компанії Roundcube, яка виправила її та випустила оновлення безпеки незабаром після цього — 14 жовтня 2023 року. «Ми вдячні команді Roundcube за її швидку відповідь та виправлення уразливості у такий короткий проміжок часу», — коментує Метьє Фау, дослідник ESET.
«Winter Vivern становить загрозу для державних установ у Європі через досить послідовне проведення фішингових атак, а також через відсутність регулярного оновлення великої кількості Інтернет-додатків, незважаючи на наявність в них уразливостей», — пояснює дослідник ESET.
Уразливість CVE-2023-5631 може використовуватись хакерами віддалено через надсилання спеціально створеного повідомлення електронної пошти. «На перший погляд електронний лист не виглядає шкідливим, однак вихідний код HTML у кінці містить тег SVG, який має закодований шкідливий компонент», — коментує дослідник ESET.
Надсилаючи спеціально створене повідомлення електронної пошти, зловмисники можуть завантажувати довільний код JavaScript у вікні браузера користувача Roundcube. Жертвам достатньо лише переглянути шкідливе повідомлення у браузері. Основний компонент JavaScript може передавати повідомлення електронної пошти користувача на командний сервер кіберзлочинців.
Варто зазначити, що Winter Vivern — це група кібершпигунів, яка діє принаймні з 2020 року та націлена на державні установи Європи та Центральної Азії. Щоб скомпрометувати свої цілі, зловмисники використовують шкідливі документи, фішингові вебсайти та спеціальний бекдор PowerShell. Існує ймовірність, що Winter Vivern пов’язана з групою MoustachedBouncer, діяльність якої вперше зафіксована у серпні 2023 року. Winter Vivern націлена на сервери електронної пошти Zimbra та Roundcube, які належать державним установам, принаймні з 2022 року.
У зв’язку з небезпекою поширення подібних загроз і надалі спеціалісти ESET рекомендують регулярно оновлювати всі програми до актуальної версії, на додаток до паролів використовувати багатофакторну автентифікацію для входу в облікові записи та встановити рішення для захисту комп’ютерів та мобільних пристроїв від різних загроз, включно з програмами-вимагачами, фішинг-атаками та іншими видами шкідливих програм.