Plataforma de correo electrónico de código abierto más destacada es hackeada para robar datos de usuarios.
Se está utilizando Roundcube para atacar a empresas gubernamentales.
Recientes informes han alertado sobre un uso indebido de una vulnerabilidad en Roundcube Webmail, la cual está siendo aprovechada por hackers para robar correos electrónicos y otra información sensible. Expertos en ciberseguridad de Positive Technologies han señalado que este popular cliente de correo electrónico presenta un error que está siendo atacado activamente en organizaciones gubernamentales de la región de la Comunidad de Estados Independientes (CEI), que incluye a países del antiguo Unión Soviética.
Roundcube Webmail es un cliente de correo electrónico basado en navegador, conocido por su interfaz amigable que se asemeja a una aplicación de escritorio. Soporta protocolos estándar de correo como IMAP y SMTP, y ofrece características como búsqueda de mensajes, gestión de contactos y personalización de plugins.
La vulnerabilidad, identificada como CVE-2024-37383, es catalogada como un error de cross-site scripting (XSS) almacenado de gravedad media, lo que permite la ejecución de JavaScript malicioso en la página de Roundcube. Para activar este fallo, los atacantes envían un correo electrónico diseñado de manera específica. Este correo parece estar vacío, pero contiene un archivo adjunto en formato .DOC. Los criminales ocultan un código perjudicial en el email utilizando etiquetas HTML particulares, en este caso, la etiqueta , que es procesada por el cliente de correo, aunque permanece invisible para el usuario objetivo.
El código nocivo simula ser un valor de 'href'. Al abrir el archivo .DOC falso, se inyecta un formulario de inicio de sesión no autorizado en la página HTML, solicitando las credenciales del usuario al servidor de correo. Aquellos que caen en esta trampa son engañados para que introduzcan su nombre de usuario y contraseña, que luego son enviados a los atacantes.
Se ha informado que todas las versiones hasta la 1.5.6, así como aquellas entre la 1.6 y la 1.6.6 son vulnerables a este fallo. Las versiones 1.5.7 y 1.6.7, lanzadas el 19 de mayo, son las primeras que han corregido esta vulnerabilidad, y se aconseja a los usuarios actualizar sus clientes a la brevedad posible.
