Pelaku ancaman tak dikenal telah diamati berupaya mengeksploitasi kelemahan keamanan yang kini telah ditambal pada perangkat lunak email web open-source Roundcube sebagai bagian dari serangan phishing yang dirancang untuk mencuri kredensial pengguna.
Perusahaan keamanan siber Rusia, Positive Technologies, mengatakan bulan lalu mereka menemukan bahwa sebuah email telah dikirim ke organisasi pemerintah yang tidak disebutkan namanya yang berlokasi di salah satu negara Persemakmuran Negara-Negara Merdeka (CIS). Namun perlu diperhatikan bahwa pesan tersebut awalnya dikirim pada Juni 2024.
“Email tersebut tampaknya merupakan pesan tanpa teks, hanya berisi dokumen terlampir,” katanya dalam analisis yang diterbitkan awal pekan ini.
“Namun, klien email tidak menampilkan lampirannya. Badan email berisi tag khusus dengan pernyataan eval(atob(…)), yang memecahkan kode dan mengeksekusi kode JavaScript.”
Rantai serangan, menurut Positive Technologies, adalah upaya untuk mengeksploitasi CVE-2024-37383 (skor CVSS: 6.1), kerentanan skrip lintas situs (XSS) yang disimpan melalui atribut animasi SVG yang memungkinkan eksekusi JavaScript sewenang-wenang dalam konteks browser web korban.
Dengan kata lain, penyerang jarak jauh dapat memuat kode JavaScript sewenang-wenang dan mengakses informasi sensitif hanya dengan menipu penerima email agar membuka pesan yang dibuat khusus. Masalah ini telah diatasi di versi 1.5.7 dan 1.6.7 pada Mei 2024.
“Dengan memasukkan kode JavaScript sebagai nilai untuk “href”, kami dapat mengeksekusinya di halaman Roundcube setiap kali klien Roundcube membuka email berbahaya,” kata Positive Technologies.
Payload JavaScript, dalam hal ini, menyimpan lampiran Microsoft Word yang kosong (“Road map.docx”), dan kemudian melanjutkan untuk mendapatkan pesan dari server email menggunakan plugin ManageSieve. Ini juga menampilkan formulir login di halaman HTML yang ditampilkan kepada pengguna dalam upaya untuk menipu korban agar memberikan kredensial Roundcube mereka.
Pada tahap akhir, informasi nama pengguna dan kata sandi yang diambil dieksfiltrasi ke server jarak jauh (“libcdn[.]org”) yang dihosting di Cloudflare.
Saat ini tidak jelas siapa yang berada di balik aktivitas eksploitasi tersebut, meskipun kelemahan sebelumnya yang ditemukan di Roundcube telah disalahgunakan oleh beberapa kelompok peretas seperti APT28, Winter Vivern, dan TAG-70.
“Meskipun webmail Roundcube mungkin bukan klien email yang paling banyak digunakan, namun tetap menjadi target peretas karena penggunaannya yang lazim oleh lembaga pemerintah,” kata perusahaan itu. “Serangan terhadap perangkat lunak ini dapat mengakibatkan kerusakan yang signifikan, memungkinkan penjahat dunia maya mencuri informasi sensitif.”
