黑客一直在利用Roundcube Webmail客户端中的存储跨站脚本(XSS)漏洞,以独联体(CIS)中的政府组织为目标。俄罗斯网络安全公司Positive Technologies在9月检测到这种漏洞利用,自6月以来一直在进行。Roundcube是一种在各种实体中流行的开源Web邮件解决方案,由于对SVG元素的处理不当而容易受到攻击,从而允许通过特制电子邮件执行恶意JavaScript代码。
这些攻击涉及发送看似空但包含.DOC附件和隐藏负载的电子邮件。有效负载是伪装在“href”值中的base64编码的JavaScript,在将未经授权的登录表单注入电子邮件的HTML页面时下载了一个诱饵文档。此表单请求用户凭据,有效地窃取了Roundcube客户端的登录信息。Positive Technologies强调,威胁行为者使用特定标签来绕过语法检查并执行恶意代码,严重损害了受影响组织的安全。来源