direct

Выявлена кибератака на органы власти одной из стран СНГ через уязвимость в электронной почте

  • Дата: 

В сентябре специалисты IT-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center) в рамках исследования угроз обнаружили вредоносное письмо, получателем которого была одна из государственных организаций страны СНГ; с его помощью атакующие пытались проэксплуатировать уязвимость CVE-2024-37383 в почтовом клиенте Roundcube Webmail, сообщает Positive Technologies во вторник.

Данное письмо представляло собой сообщение без текста и содержало вложенный документ. При этом почтовый клиент не отображал вложения. Веб-клиент Roundcube Webmail с открытым исходным кодом популярен среди коммерческих и государственных компаний во многих странах. Уязвимости Roundcube Webmail уже становились инструментом в руках злоумышленников. Последней из таких атак была кампания, относящаяся к кластеру активности группировки Winter Vivern, которая через уязвимость в Roudcube атаковала государственные организации ряда европейских стран.

Уязвимость CVE-2024-37383 относится к самому опасному типу межсайтового скриптинга. Недостаток позволяет выполнять JavaScript-код, который запускается в браузере пользователя. Для этого потенциальной жертве достаточно открыть вредоносное письмо в веб-клиенте Roundcube версии 1.5.6 и ниже либо от 1.6 до 1.6.6. Уязвимость обнаружили исследователи компании CrowdStrike и устранили разработчики Roundcube, которые выпустили обновление безопасности от 19 мая 2024 года.

«Roundcube Webmail не самый известный почтовый клиент среди частных пользователей, однако он по умолчанию входит в популярную панель управления хостингом cPanel, которая имеет по меньшей мере 450 тысяч установок. Атаки через веб-клиент могут нанести значительный ущерб государственным органам, поскольку программа, по нашим наблюдениям, довольно часто используется в этой сфере. Злоумышленники могут перехватывать служебную переписку, логины и пароли для входа в почту, использовать конфиденциальную информацию для развития атаки. Мы рекомендуем как можно скорее устранить уязвимость — для этого нужно установить последнюю версию клиента», — рассказал Максим Андреев, руководитель группы исследования сложных угроз департамента Threat Intelligence компании Positive Technologies.

Наибольшее число удалённых серверов с установленным клиентом Roundcube Webmail расположено в США (15,7%), Германии (14,2%), Франции (11,9%) и Бразилии (8,9%). Россия в этом списке занимает десятое место (2,6%).

Выявлена кибератака на органы власти одной из стран СНГ через уязвимость в электронной почте