Des acteurs malveillants inconnus ont été observés tentant d’exploiter une faille de sécurité désormais corrigée dans le logiciel de messagerie Web open source Roundcube dans le cadre d’une attaque de phishing conçue pour voler les informations d’identification des utilisateurs.
La société russe de cybersécurité Positive Technologies a déclaré avoir découvert le mois dernier qu’un courrier électronique avait été envoyé à une organisation gouvernementale non spécifiée située dans l’un des pays de la Communauté des États indépendants (CEI). Il convient toutefois de noter que le message a été initialement envoyé en juin 2024.
« L’e-mail semblait être un message sans texte, contenant uniquement un document joint », a-t-il déclaré dans une analyse publiée plus tôt cette semaine.
« Cependant, le client de messagerie n’a pas affiché la pièce jointe. Le corps de l’e-mail contenait des balises distinctives avec l’instruction eval(atob(…)), qui décodent et exécutent le code JavaScript. »
La chaîne d’attaque, selon Positive Technologies, est une tentative d’exploitation de CVE-2024-37383 (score CVSS : 6,1), une vulnérabilité de script intersite ( XSS ) stockée via les attributs d’animation SVG qui permet l’exécution de JavaScript arbitraire dans le contexte du navigateur Web de la victime.
En d’autres termes, un attaquant distant pourrait charger du code JavaScript arbitraire et accéder à des informations sensibles simplement en incitant un destinataire de courrier électronique à ouvrir un message spécialement conçu. Le problème a depuis été résolu dans les versions 1.5.7 et 1.6.7 de mai 2024.
« En insérant du code JavaScript comme valeur pour « href », nous pouvons l’exécuter sur la page Roundcube chaque fois qu’un client Roundcube ouvre un e-mail malveillant », a noté Positive Technologies.
Dans ce cas, la charge utile JavaScript enregistre la pièce jointe Microsoft Word vide (« Road map.docx »), puis procède à l’obtention des messages du serveur de messagerie à l’aide du plug-in ManageSieve. Elle affiche également un formulaire de connexion dans la page HTML affichée à l’utilisateur dans le but de tromper les victimes afin qu’elles fournissent leurs informations d’identification Roundcube.
Dans l’étape finale, les informations de nom d’utilisateur et de mot de passe capturées sont exfiltrées vers un serveur distant (« libcdn[.]org ») hébergé sur Cloudflare.
On ne sait pas encore clairement qui se cache derrière cette activité d’exploitation, bien que des failles antérieures découvertes dans Roundcube aient été exploitées par plusieurs groupes de pirates informatiques tels que APT28, Winter Vivern et TAG-70.
« Bien que le logiciel de messagerie Roundcube ne soit pas le client de messagerie électronique le plus utilisé, il reste une cible pour les pirates informatiques en raison de son utilisation répandue par les agences gouvernementales », a déclaré la société. « Les attaques contre ce logiciel peuvent entraîner des dommages importants, permettant aux cybercriminels de voler des informations sensibles. »
