Lỗ hổng Webmail Roundcube cho phép tin tặc đánh cắp email và mật khẩu

www.tuoitre.vn -   07/08/2024 08:00:00 126

Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về các lỗ hổng bảo mật trong phần mềm webmail Roundcube có thể bị khai thác để thực thi JavaScript độc hại trong trình duyệt web của nạn nhân và đánh cắp thông tin nhạy cảm từ tài khoản của họ trong những trường hợp cụ thể.

Lỗ hổng Webmail Roundcube cho phép tin tặc đánh cắp email và mật khẩu

"Khi nạn nhân xem email độc hại trong Roundcube do kẻ tấn công gửi, kẻ tấn công có thể thực thi JavaScript tùy ý trong trình duyệt của nạn nhân", công ty an ninh mạng Sonar cho biết trong một phân tích được công bố vào tuần này.

"Kẻ tấn công có thể lợi dụng lỗ hổng này để đánh cắp email, danh bạ và mật khẩu email của nạn nhân cũng như gửi email từ tài khoản của nạn nhân".

Sau khi tiết lộ có trách nhiệm vào ngày 18 tháng 6 năm 2024, ba lỗ hổng đã được giải quyết trong Roundcube phiên bản 1.6.8 và 1.5.8 phát hành vào ngày 4 tháng 8 năm 2024.

Danh sách các lỗ hổng như sau :

 CVE-2024-42008 - Một lỗ hổng mã lệnh chéo trang thông qua tệp đính kèm email độc hại được cung cấp cùng với tiêu đề Content-Type nguy hiểm

CVE-2024-42009 - Một lỗ hổng mã lệnh chéo trang phát sinh từ quá trình xử lý hậu kỳ nội dung HTML đã được khử trùng

CVE-2024-42010 - Một lỗ hổng tiết lộ thông tin bắt nguồn từ việc lọc CSS không đủ

Việc khai thác thành công các lỗ hổng đã đề cập ở trên có thể cho phép những kẻ tấn công chưa xác thực đánh cắp email và danh bạ, cũng như gửi email từ tài khoản của nạn nhân, nhưng sau khi xem một email được tạo đặc biệt trong Roundcube.

"Những kẻ tấn công có thể có được chỗ đứng cố định trong trình duyệt của nạn nhân trong suốt quá trình khởi động lại, cho phép chúng liên tục đánh cắp email hoặc đánh cắp mật khẩu của nạn nhân vào lần nhập tiếp theo", nhà nghiên cứu bảo mật Oskar Zeino-Mahmalat cho biết.

"Để tấn công thành công, người dùng không cần tương tác gì ngoài việc xem email của kẻ tấn công để khai thác lỗ hổng XSS quan trọng (CVE-2024-42009). Đối với CVE-2024-42008, nạn nhân chỉ cần nhấp một lần để khai thác, nhưng kẻ tấn công có thể khiến tương tác này trở nên không rõ ràng đối với người dùng."

Các chi tiết kỹ thuật bổ sung về các vấn đề đã được giữ lại để người dùng có thời gian cập nhật lên phiên bản mới nhất và xét đến thực tế là các lỗ hổng trong phần mềm webmail đã bị các tác nhân quốc gia như APT28, Winter Vivern và TAG-70 khai thác nhiều lần.

Những phát hiện này xuất hiện khi các chi tiết về lỗ hổng leo thang đặc quyền cục bộ có mức độ nghiêm trọng tối đa trong dự án nguồn mở RaspAP (CVE-2024-41637, điểm CVSS: 10.0) cho phép kẻ tấn công nâng lên quyền root và thực hiện một số lệnh quan trọng. Lỗ hổng này đã được giải quyết trong phiên bản 3.1.5.

"Người dùng www-data có quyền ghi vào tệp restapi.service và cũng sở hữu các đặc quyền sudo để thực hiện một số lệnh quan trọng mà không cần mật khẩu", một nhà nghiên cứu bảo mật có biệt danh trực tuyến là 0xZon1 cho biết. "Sự kết hợp các quyền này cho phép kẻ tấn công sửa đổi dịch vụ để thực thi mã tùy ý với các đặc quyền root, nâng cao quyền truy cập của chúng từ www-data lên root".

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 108
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 126
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 113
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 85
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 47
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 48
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button