黑客在一次网络钓鱼攻击中利用已打补丁的 Roundcube 漏洞，从开源网络邮件软件中窃取用户凭证。

来自 Positive Technologies 的研究人员警告说，未知的威胁行为者试图利用开源 Roundcube Webmail 软件中一个现已打补丁的漏洞，该漏洞被追踪为 CVE-2024-37383（CVSS 得分：6.1）。

攻击者利用该漏洞作为网络钓鱼活动的一部分，旨在窃取 Roundcube 用户的凭据。

2024 年 9 月，Positive Technologies 发现了一封发送给独联体国家政府组织的电子邮件。对时间戳的分析表明，该电子邮件发送于 2024 年 6 月。电子邮件的内容是空的，邮件中只有一个附件，在电子邮件客户端中看不到。

电子邮件正文包含独特的标签，其中包含攻击者用来解码和执行 JavaScript 代码的语句 eval(atob(…))。研究人员注意到，属性名称（attributeName=“href”）包含一个额外的空格，这表明该电子邮件试图利用 Roundcube Webmail 中的 CVE-2024-37383 漏洞。

该漏洞影响1.5.7之前的Roundcube Webmail和1.6.7之前的1.6.x，攻击者可利用该漏洞通过SVG animate属性进行XSS攻击。2024 年 5 月發佈的 1.5.7 及 1.6.7 版本已修復漏洞。

攻击者可利用该漏洞在接收者网络浏览器的上下文中执行任意 JavaScript 代码。

攻击者可通过诱骗收件人使用存在漏洞的 Roundcube 客户端版本打开特制电子邮件来利用该漏洞。

“当在 “href ”属性名称中添加额外空格时，语法将不会被过滤，并将出现在最终文档中。在此之前，它的格式为{属性名} = {属性值}”，Positive Technologies 发布的报告如是说。“通过插入 JavaScript 代码作为 “href ”的值，每当 Roundcube 客户端打开恶意电子邮件时，我们就可以在 Roundcube 页面上执行该代码。”

研究人员还公布了针对该漏洞的 PoC 漏洞利用代码。

攻击中使用的 JavaScript 有效载荷会保存一个空 Word 文档（“Road map.docx”），并使用 ManageSieve 插件从邮件服务器检索邮件。

该攻击在 Roundcube 界面中创建了一个虚假登录表单，捕获用户凭据并将其发送到恶意服务器（libcdn.org）。该域名注册于 2024 年。

“Roundcube Webmail 中的漏洞一直是网络犯罪分子频繁攻击的目标。最近的一次此类攻击与 Winter Vivern 组织有关，该组织利用 Roundcube 中的 XSS 漏洞攻击欧洲多个国家的政府组织。然而，根据现有信息，本文中描述的攻击无法与已知行为者联系起来。尽管 Roundcube Webmail 可能不是使用最广泛的电子邮件客户端，但由于政府机构普遍使用，它仍然是黑客攻击的目标。对该软件的攻击可能会导致重大损失，使网络犯罪分子得以窃取敏感信息。”