【安全资讯】黑客利用Roundcube邮件客户端漏洞窃取邮件和凭证

概要：

近期，黑客利用Roundcube邮件客户端中的一个漏洞，针对独立国家联合体（CIS）地区的政府组织发起攻击。该事件引发了广泛关注，尤其是在网络安全领域，Roundcube作为一个开源邮件解决方案，广泛应用于商业和政府机构。

主要内容：

攻击者利用了一种中等严重性的存储型跨站脚本（XSS）漏洞，编号为CVE-2024-37383。该漏洞允许恶意JavaScript代码在用户打开特制邮件时执行。研究人员发现，攻击者通过不当处理邮件中的SVG元素，绕过了语法检查，从而在用户页面上执行恶意代码。

攻击者发送的邮件表面上没有可见内容，仅包含一个.doc附件。然而，隐藏的有效载荷嵌入在代码中，利用特定标签（如<animate>）进行处理。该有效载荷是一个经过base64编码的JavaScript代码，伪装成“href”值，下载一个诱饵文档（Road map.doc）以分散受害者的注意。同时，它在HTML页面中注入了一个未经授权的登录表单，试图获取用户的Roundcube登录凭证。

研究人员指出，攻击者希望用户手动或自动填写登录信息，从而获取目标账户的凭证。如果成功，数据将被发送到一个新注册的远程服务器（libcdn[.]org），并利用ManageSieve插件从邮件服务器中提取信息。为了保护用户，系统管理员被建议尽快更新到Roundcube的最新版本，以修补该漏洞。