CISA ออกมาแจ้งเตือนการพบช่องโหว่ Roundcube email server ที่ได้รับการแก้ไขไปแล้วในเดือนกันยายน 2023 กำลังถูก Hacker นำมาใช้ในการโจมตีแบบ cross-site scripting (XSS) อยู่ในปัจจุบัน
CVE-2023-43770 (คะแนน CVSS 6.1/10 ความรุนแรงระดับปานกลาง) เป็นช่องโหว่ cross-site scripting (XSS) ซึ่งช่วยให้ Hacker สามารถเข้าถึงข้อมูลที่ถูกจำกัดผ่านทาง plain/text ลิงก์ที่ออกแบบมาเพื่อการโจมตีโดยเฉพาะ รวมถึงมีความซับซ้อนในการโจมตีต่ำ ซึ่งยังต้องอาศัยการโต้ตอบจากผู้ใช้งาน โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ Roundcube email server เวอร์ชันใหม่กว่า 1.4.14, 1.5.x เวอร์ชันก่อน 1.5.4 และ 1.6.x เวอร์ชันก่อน 1.6.3
แม้ว่า CISA จะยังไม่ได้ออกมาให้รายละเอียดเพิ่มเติม แต่ก็ได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog (KEV) หรือช่องโหว่ที่กำลังถูกใช้ในการโจมตี รวมถึง CISA ยังสั่งให้หน่วยงาน US Federal Civilian Executive Branch (FCEB) เร่งทำการอัปเดต Roundcube email server จากช่องโหว่ดังกล่าวภายในวันที่ 4 มีนาคม 2024
แม้ว่า KEV จะมีวัตถุประสงค์หลักคือให้หน่วยงานรัฐบาลกลางจัดการช่องโหว่ที่จำเป็นต้องได้รับการแก้ไขโดยเร็วที่สุด แต่หน่วยงานเอกชนก็ควรที่จะทำการแก้ไขช่องโหว่ด้วยเช่นเดียวกัน
ปัจจุบัน Shodan พบว่ามี Roundcube email server มากกว่า 132,000 server ที่เข้าถึงได้ทางอินเทอร์เน็ต แต่ยังไม่มีข้อมูลรายการที่มีความเสี่ยงต่อช่องโหว่ CVE-2023-43770
นอกจากนี้ยังมีช่องโหว่ Roundcube อีกรายการ ซึ่งเป็นช่องโหว่ cross-site scripting (XSS) CVE-2023-5631 ที่กำลังถูกกลุ่ม Hacker ชาวรัสเซีย Winter Vivern (TA473) ใช้ในการโจมตีเป้าหมายมาตั้งแต่วันที่ 11 ตุลาคม 2023
กลุ่ม TA473 ใช้ข้อความ HTML email ที่มี SVG document ที่เป็นอันตราย ซึ่งออกแบบมาเพื่อแทรกโค้ด JavaScript จากระยะไกล ทั้งนี้พบการโจมตีดังกล่าวในเดือนตุลาคม 2023 โดยการขโมยอีเมลจาก Roundcube email server ซึ่งเป็นหน่วยงานภาครัฐ และสถาบันวิจัยในยุโรป รวมถึงกลุ่ม TA473 ใช้ประโยชน์จากช่องโหว่ CVE-2020-35730 (Roundcube XSS) ในการโจมตีระหว่างเดือนสิงหาคมถึงกันยายน 2023 และ CVE-2022-27926 (XSS) ในต้นปี 2023 เพื่อกำหนดเป้าหมายการโจมตีไปยังประเทศในกลุ่ม NATO และขโมยอีเมลที่เป็นของรัฐบาล เจ้าหน้าที่ และบุคลากรทางทหารของ NATO
นอกจากนี้ช่องโหว่ที่กล่าวมาข้างต้นยังถูกกลุ่ม APT28 ซึ่งเป็น Hacker ชาวรัสเซียซึ่งเป็นส่วนหนึ่งของ General Staff Main Intelligence Directorate (GRU) ของรัสเซีย ใช้เพื่อโจมตี Roundcube email server ที่เป็นของรัฐบาลยูเครนอีกด้วย
ที่มา : bleepingcomputer
You must be logged in to post a comment.