ख़तरनाक अभिनेता राउंडक्यूब वेबमेल उपभोक्ता के भीतर एक भेद्यता का फायदा उठाकर राष्ट्रमंडल स्वतंत्र राज्यों (CIS) क्षेत्र के भीतर सरकारी संगठनों को निशाना बना रहे हैं, जो पिछले सोवियत संघ का उत्तराधिकारी है।
सितंबर में रूसी साइबर सुरक्षा फर्म ऑप्टिमिस्टिक एप्लाइड साइंसेज द्वारा एक हमले का पता लगाया गया था, हालांकि शोधकर्ताओं ने तय किया कि ख़तरनाक अभिनेता की गतिविधि जून में शुरू हुई थी।
राउंडक्यूब वेबमेल एक ओपन-सोर्स, PHP-आधारित वेबमेल उत्तर है जिसमें प्लगइन्स की सहायता से इसके प्रदर्शन को बढ़ाया जाता है, जो औद्योगिक और सरकारी संस्थाओं के साथ लोकप्रिय है।
ख़तरनाक अभिनेता ने CVE-2024-37383 के रूप में पहचानी जाने वाली मध्यम-गंभीरता वाली सहेजी गई XSS (क्रॉस-साइट स्क्रिप्टिंग) भेद्यता का फायदा उठाया, जो विशेष रूप से तैयार किए गए ईमेल को खोलते समय राउंडक्यूब वेब पेज पर दुर्भावनापूर्ण जावास्क्रिप्ट कोड के निष्पादन की अनुमति देता है।
ईमेल के भीतर SVG घटकों की अनुचित प्रसंस्करण से समस्या शुरू होती है, जो सिंटैक्स जाँच को बायपास करती है और व्यक्ति के वेब पेज पर दुर्भावनापूर्ण कोड को निष्पादित करने की अनुमति देती है।
“खाली” ईमेल क्रेडेंशियल चुराता है
ऑप्टिमिस्टिक एप्लाइड साइंसेज की रिपोर्ट है कि हमलों में बिना देखे गए कंटेंट वाले ईमेल और सिर्फ़ एक .DOC अटैचमेंट का इस्तेमाल किया गया। फिर भी, धमकी देने वाले ने कोड के अंदर एक छिपा हुआ पेलोड एम्बेड किया जिसे उपभोक्ता प्रोसेस करता है लेकिन इस मामले में विशेष टैग, “” के आधार पर संदेश बॉडी में मौजूद नहीं होता।
पेलोड एक बेस64-एन्कोडेड जावास्क्रिप्ट कोड का एक हिस्सा है जिसे “href” मान के रूप में छिपाया गया है। यह पीड़ित का ध्यान भटकाने के लिए मेल सर्वर से एक नकली दस्तावेज़ (स्ट्रीट मैप.doc) डाउनलोड करता है।
साथ ही, यह मेल सर्वर से संदेशों का अनुरोध करने के लिए HTML वेब पेज में एक अनधिकृत लॉगिन फ़ॉर्म इंजेक्ट करता है।
“व्यक्ति को दिखाए गए HTML वेब पेज में rcmloginuser और rcmloginpwd (राउंडक्यूब उपभोक्ता के लिए व्यक्ति का लॉगिन और पासवर्ड) फ़ील्ड के साथ एक प्राधिकरण प्रकार जोड़ा जाता है” – पॉजिटिव टेक्नोलॉजीज
शोधकर्ताओं के अनुसार, धमकी देने वाला व्यक्ति उम्मीद करता है कि दोनों फ़ील्ड मैन्युअल या यांत्रिक रूप से भरे जाएँगे, और इस तरह लक्ष्य के खाते के क्रेडेंशियल प्राप्त करेंगे।
यदि वे ऐसा करते हैं, तो जानकारी को “libcdn[.]org” पर एक दूरस्थ सर्वर पर भेज दिया जाता है, जो हाल ही में पंजीकृत है और क्लाउडफ्लेयर इंफ्रास्ट्रक्चर पर होस्ट किया गया है।
इसके अलावा, हमलावर मेल सर्वर से संदेशों को बाहर निकालने के लिए मैनेजसीव प्लगइन का उपयोग करते हैं, शोधकर्ताओं का कहना है।
CVE-2024-37383 राउंडक्यूब के 1.5.6 से पहले के संस्करणों और 1.6 से 1.6.6 के संस्करणों को प्रभावित करता है, इसलिए इन संस्करणों पर अभी भी सिस्टम डायरेक्टर्स को जल्द से जल्द अपडेट करने की सलाह दी जाती है।
19 मई को राउंडक्यूब वेबमेल 1.5.7 और 1.6.7 के रिलीज़ के साथ भेद्यता को संबोधित किया गया था। सबसे हालिया उपलब्ध मॉडल, जो वास्तव में अनुशंसित सुधार है, 1.6.9 है, जिसे 1 सितंबर को लॉन्च किया गया था।
राउंडक्यूब की खामियाँ अक्सर ओपन-सोर्स सॉफ़्टवेयर का उपयोग करने वाले महत्वपूर्ण संगठनों के कारण हैकर्स द्वारा लक्षित की जाती हैं।
इस साल की शुरुआत में, CISA ने राउंडक्यूब में एक और XSS बग, CVE-2023-43770 पर ध्यान केंद्रित करने वाले हैकर्स के बारे में चेतावनी दी, संघीय संगठनों को पैच करने के लिए दो सप्ताह का समय दिया।
अक्टूबर 2023 में, ‘विंटर विवर्न’ के नाम से जाने जाने वाले रूसी हैकर्स को राउंडक्यूब पर एक जीरो-डे XSS दोष का फायदा उठाते हुए देखा गया, जिसे CVE-2023-5631 के रूप में ट्रैक किया गया, ताकि यूरोप में सरकारी संस्थाओं में सेंध लगाई जा सके और टैंकों पर कब्जा किया जा सके। जून 2023 में, APT28 समूह के GRU हैकर्स ने यूक्रेन में कई संगठनों द्वारा उपयोग किए जाने वाले ईमेल सर्वर से डेटा चुराने के लिए राउंडक्यूब की चार खामियों का फायदा उठाया, जिसमें सरकारी कंपनियाँ भी शामिल थीं।
