Alert!

Webmailer Roundcube: Attacken auf Zero-Day-Lücke

Im Webmailer Roundcube missbrauchen Cyberkriminelle eine Sicherheitslücke, um verwundbare Einrichtungen anzugreifen. Ein Update schließt das Leck.

7

(Bild: Pavel Ignatov/Shutterstock.com)

25.10.2023, 14:25 Uhr

Lesezeit: 2 Min.

Security

Von

Dirk Knop

Eine Schwachstelle im Webmailer Roundcube wurde bereits attackiert, bevor die Entwickler einen Patch entwickeln konnten. Diese Sicherheitslücke schließen aktualisierte Softwarepakete, die IT-Verantwortliche zügig installieren sollten.

Bei der Schwachstelle handelt es sich um eine Cross-Site-Scripting-Lücke (XSS) bei der Verarbeitung von SVG-Grafiken in HTML-Nachrichten in der Datei program/lib/Roundcube/rcube_washtml.php. Mit manipulierten HTML-E-Mails können Angreifer dadurch beliebigen Javascript-Code laden und im Nutzerkontext ausführen (CVE-2023-5631, CVSS 6.1, Risiko "mittel").

Roundcube: Lücke wurde vor dem Update missbraucht

Die bereitstehenden Sicherheitsupdates für Roundcube bringen die Mail-Software auf den Stand 1.6.4 sowie auf 1.5.5 und 1.4.15. Die einschlägigen Linux-Distributionen verteilen inzwischen bereits aktualisierte Pakete.

Die Lücke haben der Eset-Mitarbeiter Mathie Faou sowie der IT-Forscher Denys Klymenko unabhängig voneinander gemeldet. Der IT-Sicherheitsanbieter Eset merkt zudem in einer ausführlichen Analyse an, dass es sich um eine Zero-Day-Lücke handelte, die von der Cybergang Winter Vivern missbraucht wurde, um Regierungsstellen und einen Think-Tank in Europa anzugreifen. Die Angriffe begannen am 11. Oktober, wurden von Eset am 12. Oktober gemeldet und die zugrundeliegende Schwachstelle vom Roundcube-Team am 14. Oktober ausgebessert.

Winter Vivern ist eine Cyberspionage-Gruppierung, die insbesondere Regierungen in Europa und Zentralasien angreife, erläutert Eset. Sie setze dazu auf bösartige Dokumente, Phishing-Webseiten und eine angepasste Powershell-Backdoor. Die Cybergang hat offenbar Verbindungen zu Russland und Belarus. In der Vergangenheit hat sie bereits Schwachstellen in der Groupware Zimbra missbraucht, um Zugriff auf E-Mails von Militär, Regierungen und diplomatischen Organisationen aus Europa zu erlangen.

Eset zufolge hat die kriminelle Gruppe im August und September bereits CVE-2020-35730, eine weitere XSS-Schwachstelle in Roundcube, ausgenutzt. Auch die kriminelle Vereinigung Sednit (APT28) habe diese Lücke missbraucht, zum Teil mit denselben Organisationen als Ziel. Weitere Details einer konkreten Angriffs-Mail und Indizien für einen Befall (Indicators of Compromise, IOCs) liefert Esets Analyse.

Administratorinnen und Administratoren sollten die aktualisierten Pakete so schnell wie möglich installieren. Andernfalls laufen sie Gefahr, dass ihre Nutzerinnen und Nutzer Opfer solcher Spionageangriffe werden.