CVE-2023-5631 i Roundcube Webmail-software udnyttet

Sikkerhedsforskere opdagede, at trusselsaktørgruppen Winter Vivern, også kendt som TA473 og UAC-0114, udnytter en bestemt zero-day sårbarhed.

Den nævnte sårbarhed er CVE-2023-5631, med en CVSS score på 5.4 i Roundcube webmail-software, som blev udnyttet i oktober 11, 2023. ESET-forsker Matthieu Faou understregede det øgede trusselsniveau, anførte, at Winter Vivern tidligere var afhængig af kendte sårbarheder i Roundcube og Zimbra, med offentligt tilgængelige proofs-of-concept.

Winter Vivern udnytter CVE-2023-5631 i Roundcube

Vinter Vivern, i overensstemmelse med Belarus' og Ruslands interesser, har rettet sig mod Ukraine, Polen, og statslige enheder i hele Europa og Indien i de seneste måneder. Især, denne gruppe udnyttede en anden Roundcube-fejl (CVE-2020-35730) i august og september, hvilket gør det til den anden nationalstatsgruppe efter APT28, der målretter mod open source webmail-softwaren.

Den nyopdagede sårbarhed, CVE-2023-5631, er en lagret scriptfejl på tværs af websteder. En rettelse til dette problem blev udgivet i oktober 16, 2023. Angrebet involverer en phishing-meddelelse med en Base64-kodet nyttelast i HTML-kildekoden, fører til eksekvering af vilkårlig JavaScript-kode, når offeret ser beskeden i en webbrowser.

ESETs Faou detaljerede angrebskæden, afslører, at en specielt udformet e-mail-meddelelse udløser indlæsning af vilkårlig JavaScript-kode i Roundcube-brugerens browser. JavaScript i anden fase (checkupdate.js) fungerer som læsser, muliggør eksekvering af en endelig nyttelast, der letter ekfiltreringen af e-mail-meddelelser til en kommando-og-kontrol (C2) server.

På trods af Winter Viverns relativt usofistikerede værktøjssæt, gruppen udgør en væsentlig trussel på grund af dens vedholdenhed, almindelige phishing-kampagner, og udbredelsen af internetvendte applikationer med kendte sårbarheder. Faou understregede vigtigheden af hurtige opdateringer for at mindske risikoen fra denne trusselsaktør.