CISA avertit qu’une vulnérabilité de serveur de messagerie Roundcube corrigée en septembre est désormais activement exploitée dans les attaques de script intersite (XSS).
La faille de sécurité (CVE-2023-43770) est un bogue persistant de script intersite (XSS) qui permet aux attaquants d’accéder à des informations restreintes via des messages simples/texte conçus de manière malveillante dans des attaques de faible complexité nécessitant une interaction de l’utilisateur.
La vulnérabilité affecte les serveurs de messagerie Roundcube exécutant des versions plus récentes que 1.4.14, 1.5.x avant 1.5.4 et 1.6.x avant 1.6.3.
« Nous recommandons fortement de mettre à jour toutes les installations productives de Roundcube 1.6.x avec cette nouvelle version », a déclaré l’équipe de sécurité de Roundcube lors de la publication des mises à jour de sécurité CVE-2023-43770 il y a cinq mois.
Bien qu’elle n’ait fourni aucun détail sur les attaques, CISA a ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues, avertissant que de telles failles de sécurité sont « des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et posent des risques importants pour l’entreprise fédérale. »
La CISA a également ordonné aux agences de l’Exécutif civil fédéral (FCEB) des États-Unis de sécuriser les serveurs de messagerie Web Roundcube contre ce bogue de sécurité dans les trois semaines, d’ici le 4 mars, conformément à une directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021.
Bien que l’objectif principal du catalogue KEV soit d’alerter les agences fédérales sur les vulnérabilités qui doivent être corrigées dès que possible, il est également fortement conseillé aux organisations privées du monde entier de donner la priorité à la résolution de cette faille.
Shodan suit actuellement plus de 132 000 serveurs Roundcube accessibles sur Internet. Cependant, aucune information n’est disponible sur le nombre de personnes vulnérables aux attaques en cours utilisant les exploits CVE-2023-43770.
Une autre faille de Roundcube, une vulnérabilité de script intersite stocké (XSS) identifiée comme CVE-2023-5631, a été ciblée comme un jour zéro par le groupe de piratage russe Winter Vivern (alias TA473) depuis au moins le 11 octobre.
Les attaquants ont utilisé des messages électroniques HTML contenant des documents SVG malveillants soigneusement conçus pour injecter du code JavaScript arbitraire à distance.
La charge utile JavaScript abandonnée lors des attaques d’octobre a permis aux pirates russes de voler des courriels provenant de serveurs de messagerie Web Roundcube compromis appartenant à des entités gouvernementales et à des groupes de réflexion en Europe.
Les exploitants de pépinières d’hiver ont également exploité la vulnérabilité XSS CVE-2020-35730 Roundcube entre août et septembre 2023.
Le même bogue a été utilisé par le groupe de cyberespionnage russe APT28, qui fait partie de la Direction principale du renseignement de l’État-Major général de Russie (GRU), pour violer les serveurs de messagerie Roundcube appartenant au gouvernement ukrainien.
Les pirates informatiques de Winter Vivern ont également exploité la vulnérabilité XSS Zimbra CVE-2022-27926 au début de 2023 pour cibler les pays de l’OTAN et voler des courriels appartenant aux gouvernements, aux responsables et au personnel militaire de l’OTAN.