Alert!

Roundcube Webmail: Angriffe mit gefälschten Anhängen

IT-Sicherheitsforscher haben Angriffe auf eine Stored-Cross-Site-Scripting-Lücke in Roundcube Webmail beobachtet. Ein Update ist verfügbar.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Server in der MItte, Mails und Briefe fliegen herum, Arbeiter sind planlos

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Lesezeit: 2 Min.
Von

Im Webmailer Roundcube, der etwa im universitären Umfeld und auch bei Regierungsorganisationen häufig zum Einsatz kommt, versuchen Angreifer, eine Sicherheitslücke zu missbrauchen. Die Angreifer versuchten konkret, Zugangsdaten und weitere Mails der potenziellen Opfer abzugreifen, sie also auszuspähen.

Positive Technologies schreibt in einer Analyse, dass sie die Angriffe im September 2024 entdeckt haben. Eine E-Mail, die auf den Juni datierte, wurde dort an eine Regierungsorganisation eines GUS-Staates gesendet. Die E-Mail schien keinen Text zu enthalten, lediglich einen Anhang. Im Client wurde der Anhang jedoch nicht angezeigt. Ein Java-Befehl im Mail-Body dekodierte Javascript-Code, der ausgeführt wird. Der Attribut-Name "href " mit einem zusätzlichen Leerzeichen sei Indiz dafür gewesen, dass die Sicherheitslücke CVE-2024-37383 in Roundcube attackiert wurde.

Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke bei der Verarbeitung von SVG-Animate-Attributen. Sie wurde in den Versionen Roundcube 1.5.7 und 1.6.7 im Mai geschlossen. Durch die Lücke können Angreifer Javascript-Code im Kontext von Nutzern ausführen lassen.

Die Angreifer-Mail hat mit den dekodierten Javascript-Anweisungen ein leeres Dokument "Road map.docx" gespeichert, das Base64-kodiert wurde. Zudem versuchten sie, Nachrichten vom Mailserver mit dem Managesieve-Plug-in zu erhalten. Außerdem zeigte der Code ein Autorisierungsformular für die Zugangsdaten zum Roundcube-Client an. Hier hoffen die Angreifer, dass die Felder automatisch oder manuell von den Opfern befüllt werden, die glauben, dass sie sich erneut anmelden müssen.

Die abgefangenen Zugangsdaten hat der Scriptcode an eine libcdn-URL gesendet, die am 6. Juni 2024 registriert wurde. Als weiteres Indiz für eine Infektion nennt die Analyse die URL rcm.codes, an die Mailbox-Inhalte gesendet wurden. Positive Technologies kann die unbekannten Angreifer keiner bekannten Gruppierung zuordnen.

IT-Verantwortliche sollten sicherstellen, eine abgesicherte Version von Roundcube einzusetzen. Bei Verfügbarkeit von Updates sollten sie zudem nicht zögern, diese zu installieren. Roundcube-Instanzen stellen offenbar ein beliebtes Ziel für Cyberkriminelle dar.

Im August haben die Roundcube-Entwickler die neuen Versionen 1.5.8 und 1.6.8 veröffentlicht. Sie haben darin drei Sicherheitslücken geschlossen, darunter eine als kritisches Risiko eingestufte. Diese Versionen sind bereits gegen die angegriffene Sicherheitslücke geschützt.

(dmk)