La vulnerabilidad de seguridad (CVE-2023-43770) es un error persistente de scripting entre sitios (XSS) que permite a los atacantes acceder a información restringida a través de enlaces maliciosamente diseñados en mensajes de texto plano con ataques de baja complejidad que requieren la interacción del usuario.
La vulnerabilidad afecta a los servidores de correo electrónico Roundcube que ejecutan versiones más recientes que 1.4.14, 1.5.x antes de 1.5.4 y 1.6.x antes de 1.6.3.
“Recomendamos encarecidamente actualizar todas las instalaciones productivas de Roundcube 1.6.x con esta nueva versión”, dijo el equipo de seguridad de Roundcube cuando lanzó las actualizaciones de seguridad de CVE-2023-43770 hace cinco meses.
Aunque no proporcionó detalles sobre los ataques, CISA agregó la vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas Conocidas, advirtiendo que tales fallas de seguridad son “vectores de ataque frecuentes para actores cibernéticos maliciosos y representan riesgos significativos para la empresa federal”.
CISA también ordenó a las agencias del Poder Ejecutivo Civil Federal de EE. UU. (FCEB) asegurar los servidores de correo web Roundcube contra este error de seguridad dentro de las tres semanas antes del 4 de marzo, según lo dispuesto por una directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.
Aunque el enfoque principal del catálogo KEV es alertar a las agencias federales sobre vulnerabilidades que deben parchearse lo antes posible, se recomienda encarecidamente a las organizaciones privadas en todo el mundo que den prioridad a abordar esta falla.
Shodan actualmente está rastreando más de 132.000 servidores Roundcube accesibles en Internet. Sin embargo, no hay información disponible sobre cuántos son vulnerables a los ataques en curso utilizando exploits de CVE-2023-43770.
Otra vulnerabilidad en Roundcube
Otra falla en Roundcube, una vulnerabilidad de scripting entre sitios (XSS) almacenada rastreada como CVE-2023-5631, fue objetivo de un grupo de piratería ruso conocido como Winter Vivern (también conocido como TA473) desde al menos el 11 de octubre.
Los atacantes utilizaron mensajes de correo electrónico HTML que contenían documentos SVG maliciosamente diseñados para inyectar código JavaScript arbitrario de forma remota.
La carga útil de JavaScript lanzada en los ataques de octubre permitió a los piratas informáticos rusos robar correos electrónicos de servidores de correo web Roundcube comprometidos y pertenecientes a entidades gubernamentales y grupos de expertos en Europa.
Los operadores de Winter Vivern también explotaron la vulnerabilidad de XSS de Roundcube CVE-2020-35730 entre agosto y septiembre de 2023.
La misma falla fue utilizada por el grupo de ciberespionaje APT28 ruso, parte de la Dirección Principal de Inteligencia del Estado Mayor General de Rusia (GRU), para comprometer servidores de correo electrónico Roundcube pertenecientes al gobierno ucraniano.
Los piratas informáticos de Winter Vivern también explotaron la vulnerabilidad de XSS de Zimbra CVE-2022-27926 a principios de 2023 para apuntar a países de la OTAN y robar correos electrónicos pertenecientes a gobiernos, funcionarios y personal militar de la OTAN.