Ciberseguridad 360 | Vulnerabilidades en Roundcube Webmail permiten robar correos electrónicos y contraseñas

Investigadores de ciberseguridad han revelado detalles de fallos de seguridad en el software de correo web Roundcube que podr�an aprovecharse para ejecutar JavaScript malicioso en el navegador web de una v�ctima y robar informaci�n sensible de su cuenta en determinadas circunstancias.

"Cuando una v�ctima visualiza un correo electr�nico malicioso en Roundcube enviado por un atacante, �ste puede ejecutar JavaScript arbitrario en el navegador de la v�ctima", afirma la empresa de ciberseguridad Sonar en un an�lisis publicado esta semana.

"Los atacantes pueden abusar de la vulnerabilidad para robar correos electr�nicos, contactos y la contrase�a de correo electr�nico de la v�ctima, as� como enviar correos electr�nicos desde la cuenta de la v�ctima".

Tras la revelaci�n responsable el 18 de junio de 2024, las tres vulnerabilidades se han solucionado en las versiones 1.6.8 y 1.5.8 de Roundcube, publicadas el 4 de agosto de 2024.

La lista de vulnerabilidades es la siguiente

CVE-2024-42008 - Un fallo de cross-site scripting a trav�s de un adjunto de correo electr�nico malicioso servido con una cabecera Content-Type peligrosa.

CVE-2024-42009 - Un fallo de cross-site scripting que surge del post-procesamiento de contenido HTML desinfectado.

CVE-2024-42010 - Un fallo de revelaci�n de informaci�n derivado de un filtrado insuficiente de CSS.

La explotaci�n exitosa de las fallas antes mencionadas podr�a permitir a atacantes no autenticados robar correos electr�nicos y contactos, as� como enviar correos electr�nicos desde la cuenta de una v�ctima, pero despu�s de ver un correo electr�nico especialmente dise�ado en Roundcube.

"Los atacantes pueden obtener un punto de apoyo persistente en el navegador de la v�ctima a trav�s de reinicios, lo que les permite exfiltrar correos electr�nicos de forma continua o robar la contrase�a de la v�ctima la pr�xima vez que se introduzca", dijo el investigador de seguridad Oskar Zeino-Mahmalat.

"Para que un ataque tenga �xito, no se requiere ninguna interacci�n del usuario m�s all� de ver el correo electr�nico del atacante para explotar la vulnerabilidad XSS cr�tica (CVE-2024-42009). En el caso de CVE-2024-42008, se necesita un solo clic de la v�ctima para que el exploit funcione, pero el atacante puede hacer que esta interacci�n no sea evidente para el usuario."

Se han omitido detalles t�cnicos adicionales sobre los problemas para dar tiempo a los usuarios a actualizar a la �ltima versi�n, y a la luz del hecho de que los fallos en el software de correo web han sido explotados en repetidas ocasiones por actores de estado-naci�n como APT28, Winter Vivern y TAG-70.

Los hallazgos llegan cuando han surgido detalles sobre un fallo de escalada de privilegios local de m�xima gravedad en el proyecto de c�digo abierto RaspAP (CVE-2024-41637, puntuaci�n CVSS: 10,0) que permite a un atacante elevarse a root y ejecutar varios comandos cr�ticos. La vulnerabilidad se ha solucionado en la versi�n 3.1.5.

"El usuario www-data tiene acceso de escritura al archivo restapi.service y tambi�n posee privilegios sudo para ejecutar varios comandos cr�ticos sin una contrase�a", dijo un investigador de seguridad que se hace llamar 0xZon1. "Esta combinaci�n de permisos permite a un atacante modificar el servicio para ejecutar c�digo arbitrario con privilegios de root, escalando su acceso de www-data a root".

Fuente: thehackernews