Tachtig organisaties aangevallen via zerodaylek in Roundcube Webmail

[Captain Kirk]

Zeker tachtig organisaties, waaronder de Iraanse ambassade in Nederland, zijn vorig jaar aangevallen via een zerodaylek in Roundcube Webmail. Dat stelt securitybedrijf Recorded Future op basis van eigen onderzoek. Het gebruik van de kwetsbaarheid werd vorig jaar oktober al door antivirusbedrijf ESET gemeld. Recorded Future heeft nu meer details over de waargenomen aanvallen gegeven.

Roudcube is opensource-webmailsoftware en wordt door allerlei organisaties gebruikt. De kwetsbaarheid waarvan de aanvallers misbruik maakten (CVE-2023-5631) maakt stored cross-site scripting (XSS) mogelijk. Door het versturen van een malafide e-mail kan een aanvaller zo JavaScript in de browser van het slachtoffer uitvoeren en vervolgens alle e-mails in zijn of haar e-mailaccount stelen.

In een analyse stelt Recorded Future dat zeker tachtig organisaties via het beveiligingslek zijn aangevallen. Het grootste deel daarvan bevindt zich in Oekraïne, Georgië en Polen. België staat in het overzicht op de vierde plek. De aanvallers hadden het daarbij vooral voorzien op overheden en overheidsinstanties, militaire organisaties en onderzoeksinstellingen/academici.

De aanvallen worden toegeschreven aan een aan Rusland gelieerde groep. Het beveiligingslek in RoundCube werd in oktober al gepatcht. Onlangs werd gewaarschuwd voor een andere zeroday in de software, maar daar zijn nog geen details over bekend.

 

bron: https://www.security.nl