1. Avisos de seguridad
  2. Vulnerabilidades XSS en Roundcube bajo explotación
Fecha de publicación: Jue, 22/02/2024 - 16:17

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

La primera vulnerabilidad CVE-2023-43770, se trata de XSS almacenado, debido al comportamiento del archivo program/lib/Roundcube/rcube_string_replacer.php, el cual permite que referencias a enlaces maliciosos en mensajes de texto plano (text/plain) podrían llevar a la divulgación de información.

La segunda vulnerabilidad XSS asignada con CVE-2023-5631 se trata de una falla en la generación de la página en rcube_washtml.php, que permite almacenar XSS a través de un mensaje de correo electrónico HTML con un documento SVG manipulado.

Las vulnerabilidades de secuencias de comandos entre sitios (XSS) ocurren cuando:

  • Los datos que no son de confianza ingresan a una aplicación web, generalmente desde una solicitud web.
  • La aplicación web genera dinámicamente una página web que contiene estos datos que no son de confianza.
  • Durante la generación de la página, la aplicación no impide que los datos contengan contenido ejecutable mediante un navegador web, como JavaScript, etiquetas HTML, atributos HTML, eventos de mouse, Flash, ActiveX, etc.
  • Una víctima visita la página web generada a través de un navegador web, que contiene un script malicioso que se inyectó utilizando datos que no son de confianza.
  • No se requiere ninguna interacción manual aparte de ver el mensaje en un navegador web.

Indicadores de Compromiso

Dominios:

  • bugiplaysec[.]com
  • hitsbitsx[.]com
  • ocsp-reloads[.]com
  • recsecas[.]com

Direcciones IP:

  • 38.180.2[.]23
  • 38.180.3[.]57
  • 38.180.76[.]31
  • 86.105.18[.]113
  • 176.97.66[.]57
  • 176.97.76[.]118
  • 176.97.76[.]129
  • 198.50.170[.]72

Muestras de Malware (SHA256):

  • 6800357ec3092c56aab17720897c29bb389f70cb49223b289ea5365314199a26
  • ea22b3e9ecdfd06fae74483deb9ef0245aefdc72f99120ae6525c0eaf37de32e

Recursos afectados

  • Roundcube antes de 1.4.15,
  • Roundcube 1.5.x antes de 1.5.5, y
  • Roundcube 1.6.x antes de 1.6.4

Distribuciones del sistema operativo:

  • Para Debian 10 Buster, Roundcube anterior a 1.3.17+dfsg.1-1~deb10u4.

Solución

El proyecto Roundcube ha lanzado nuevas versiones para remediar las vulnerabilidades
https://roundcube.net/news/2023/10/16/security-update-1.6.4-released

Recomendaciones

Actualizar Roundcube a la última versión disponible según las notas de la versión y el procedimiento recomendado por el proveedor.

Referencias

Los piratas informáticos rusos violaron más de 80 organizaciones utilizando el defecto XSS de Roundcube

Alert: CISA Warns of Active 'Roundcube' Email Attacks - Patch Now