{"id":7827,"date":"2024-10-20T20:02:26","date_gmt":"2024-10-20T20:02:26","guid":{"rendered":"https:\/\/aztechacker.org\/?p=7827"},"modified":"2024-10-22T19:58:55","modified_gmt":"2024-10-22T19:58:55","slug":"los-piratas-informaticos-explotan-la-vulnerabilidad-xss-de-roundcube-webmail-para-robar-las-credenciales-de-inicio-de-sesion","status":"publish","type":"post","link":"https:\/\/aztechacker.org\/index.php\/2024\/10\/20\/los-piratas-informaticos-explotan-la-vulnerabilidad-xss-de-roundcube-webmail-para-robar-las-credenciales-de-inicio-de-sesion\/","title":{"rendered":"Los piratas inform\u00e1ticos explotan la vulnerabilidad XSS de Roundcube Webmail para robar las credenciales de inicio de sesi\u00f3n"},"content":{"rendered":"\n<figure class=\"wp-block-image\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhoZuKNtFMMlMGAzijsvtVIkOReCPQTeJQlNx_ouQDXZPe1bFEDX3lEkVxauO40AhwqKaYCLIVYDBZumIsW5ERKfUQ9CvB-OVg10Dr0keC8ojAJ_jK6KTwQtKd8fblcO0FuXgMTWXotoCd9KgWPdsesmLTufSCkRLVNrWAv-25SZravKdgDF6jCNuNc6X0T\/s728-rw-e365\/roundcube.png\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEhoZuKNtFMMlMGAzijsvtVIkOReCPQTeJQlNx_ouQDXZPe1bFEDX3lEkVxauO40AhwqKaYCLIVYDBZumIsW5ERKfUQ9CvB-OVg10Dr0keC8ojAJ_jK6KTwQtKd8fblcO0FuXgMTWXotoCd9KgWPdsesmLTufSCkRLVNrWAv-25SZravKdgDF6jCNuNc6X0T\/s728-rw-e365\/roundcube.png\" alt=\"Vulnerabilidad de Roundcube Webmail XSS\" title=\"Roundcube Webmail XSS Vulnerability\"\/><\/a><\/figure>\n\n\n\n<p>Se ha observado que actores de amenazas desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de c\u00f3digo abierto Roundcube como parte de un ataque de phishing dise\u00f1ado para robar credenciales de usuario.<\/p>\n\n\n\n<p>La compa\u00f1\u00eda rusa de seguridad cibern\u00e9tica Positive Technologies dijo que descubri\u00f3 el mes pasado un correo electr\u00f3nico que fue enviado a una organizaci\u00f3n gubernamental no especificada ubicada en uno de los pa\u00edses de la Comunidad de Estados Independientes (CEI). Sin embargo, vale la pena se\u00f1alar que el mensaje se envi\u00f3 originalmente en junio de 2024.<\/p>\n\n\n\n<p>\u00abEl correo electr\u00f3nico parec\u00eda ser un mensaje sin texto, que conten\u00eda solo un documento adjunto\u00bb,&nbsp;<a href=\"https:\/\/global.ptsecurity.com\/analytics\/pt-esc-threat-intelligence\/fake-attachment-roundcube-mail-server-attacks-exploit-cve-2024-37383-vulnerability\" rel=\"noreferrer noopener\" target=\"_blank\">dijo<\/a>&nbsp;en un an\u00e1lisis publicado a principios de esta semana.<\/p>\n\n\n\n<p>\u00abSin embargo, el cliente de correo electr\u00f3nico no mostr\u00f3 el archivo adjunto. El cuerpo del correo electr\u00f3nico conten\u00eda etiquetas distintivas con la declaraci\u00f3n eval(atob(&#8230;)), que decodifican y ejecutan c\u00f3digo JavaScript\u00bb.<\/p>\n\n\n\n<p>La cadena de ataque, seg\u00fan Positive Technologies, es un intento&nbsp;<a href=\"https:\/\/github.com\/advisories\/GHSA-8j3w-26mp-75xh\" rel=\"noreferrer noopener\" target=\"_blank\">de explotar CVE-2024-37383<\/a>&nbsp;(puntuaci\u00f3n CVSS: 6.1), una vulnerabilidad almacenada de secuencias de comandos entre sitios (<a href=\"https:\/\/thehackernews.com\/2024\/10\/wordpress-litespeed-cache-plugin.html\" rel=\"noreferrer noopener\" target=\"_blank\">XSS)<\/a>&nbsp;a trav\u00e9s de atributos&nbsp;<a href=\"https:\/\/developer.mozilla.org\/en-US\/docs\/Web\/SVG\/Element\/animate\" rel=\"noreferrer noopener\" target=\"_blank\">animados SVG<\/a>&nbsp;que permite la ejecuci\u00f3n de JavaScript arbitrario en el contexto del navegador web de la v\u00edctima.<\/p>\n\n\n\n<p>Dicho de otra manera, un atacante remoto podr\u00eda cargar c\u00f3digo JavaScript arbitrario y acceder a informaci\u00f3n confidencial simplemente enga\u00f1ando a un destinatario de correo electr\u00f3nico para que abra un mensaje especialmente dise\u00f1ado. Desde entonces, el problema se&nbsp;<a href=\"https:\/\/github.com\/roundcube\/roundcubemail\/releases\/tag\/1.5.7\" rel=\"noreferrer noopener\" target=\"_blank\">ha resuelto<\/a>&nbsp;en las versiones 1.5.7 y 1.6.7 a partir de mayo de 2024.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><a href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiCzZpwvvMJv7ibulXTp46wRgWREuQUAa6tyiL4EZ0ESuBwyPIT6PuS0R0brFnFxp7s4dqCZjdMsrbJAyQSE1rfOXu7ZOXNuZjHgz28U9_7xBymWF42SpzwOH2z_aDtXvyXCDuZvKlebCfb8s8xzRUFjlhirrBh9PR_NL-bGa73RVQLyWWIUQA-tNRFeTAJ\/s728-rw-e365\/poc.png\"><img decoding=\"async\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEiCzZpwvvMJv7ibulXTp46wRgWREuQUAa6tyiL4EZ0ESuBwyPIT6PuS0R0brFnFxp7s4dqCZjdMsrbJAyQSE1rfOXu7ZOXNuZjHgz28U9_7xBymWF42SpzwOH2z_aDtXvyXCDuZvKlebCfb8s8xzRUFjlhirrBh9PR_NL-bGa73RVQLyWWIUQA-tNRFeTAJ\/s728-rw-e365\/poc.png\" alt=\"Vulnerabilidad de Roundcube Webmail XSS\" title=\"Roundcube Webmail XSS Vulnerability\"\/><\/a><\/figure>\n\n\n\n<p>\u00abAl insertar c\u00f3digo JavaScript como valor para &#8216;href&#8217;, podemos ejecutarlo en la p\u00e1gina de Roundcube cada vez que un cliente de Roundcube abre un correo electr\u00f3nico malicioso\u00bb, se\u00f1al\u00f3 Positive Technologies.<\/p>\n\n\n\n<p>La carga \u00fatil de JavaScript, en este caso, guarda el archivo adjunto vac\u00edo de Microsoft Word (\u00abRoad map.docx\u00bb) y, a continuaci\u00f3n, procede a obtener mensajes del servidor de correo mediante el complemento ManageSieve. Tambi\u00e9n muestra un formulario de inicio de sesi\u00f3n en la p\u00e1gina HTML que se muestra al usuario en un intento de enga\u00f1ar a las v\u00edctimas para que proporcionen sus credenciales de Roundcube.<\/p>\n\n\n\n<p>En la etapa final, la informaci\u00f3n capturada de nombre de usuario y contrase\u00f1a se filtra a un servidor remoto (\u00ab<a href=\"https:\/\/urlscan.io\/result\/92251b02-fb32-4fcc-8ae4-df1cdd742203\/\" rel=\"noreferrer noopener\" target=\"_blank\">libcdn[.]org<\/a>\u00ab) alojado en Cloudflare.<\/p>\n\n\n\n<p>Actualmente no est\u00e1 claro qui\u00e9n est\u00e1 detr\u00e1s de la actividad de explotaci\u00f3n, aunque las fallas anteriores descubiertas en Roundcube han sido abusadas por&nbsp;<a href=\"https:\/\/thehackernews.com\/2024\/08\/roundcube-webmail-flaws-allow-hackers.html\" rel=\"noreferrer noopener\" target=\"_blank\">m\u00faltiples grupos de piratas inform\u00e1ticos<\/a>&nbsp;como APT28, Winter Vivern y TAG-70.<\/p>\n\n\n\n<p>\u00abSi bien el correo web de Roundcube puede no ser el cliente de correo electr\u00f3nico m\u00e1s utilizado, sigue siendo un objetivo para los piratas inform\u00e1ticos debido a su uso frecuente por parte de las agencias gubernamentales\u00bb, dijo la compa\u00f1\u00eda. \u00abLos ataques a este software pueden resultar en da\u00f1os significativos, lo que permite a los ciberdelincuentes robar informaci\u00f3n confidencial\u00bb.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se ha observado que actores de amenazas desconocidos intentan explotar una falla de seguridad ahora parcheada en el software de correo web de c\u00f3digo abierto Roundcube como parte de un ataque de phishing dise\u00f1ado para robar credenciales de usuario. La compa\u00f1\u00eda rusa de seguridad cibern\u00e9tica Positive Technologies dijo que descubri\u00f3 el mes pasado un correo [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_et_pb_use_builder":"off","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[9],"tags":[10,11,13,12,7],"class_list":["post-7827","post","type-post","status-publish","format-standard","hentry","category-vulnerabilidades","tag-cve-2024-37383","tag-roundcube","tag-security-advisor","tag-seguridad-del-correo-electronico","tag-vulnerabilidad"],"_links":{"self":[{"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/posts\/7827","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/comments?post=7827"}],"version-history":[{"count":1,"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/posts\/7827\/revisions"}],"predecessor-version":[{"id":7831,"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/posts\/7827\/revisions\/7831"}],"wp:attachment":[{"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/media?parent=7827"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/categories?post=7827"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aztechacker.org\/index.php\/wp-json\/wp\/v2\/tags?post=7827"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}