Roundcube wykorzystywany do kradzieży poświadczeń.
Zespół CERT Polska wykrył w tym tygodniu kampanię mailową wymierzoną w polskie podmioty, wykorzystującą podatność CVE-2024-42009 w oprogramowaniu Roundcube. Podatność umożliwia wykonanie kodu JavaScript w momencie odczytania maila, co zostało użyte w atakach mających na celu kradzież poświadczeń.
Warto dodać, że w tym tygodniu została opublikowana również inna podatność – CVE-2025-49113, która pozwala na zdalne wykonanie kodu na serwerze przez uwierzytelnionego użytkownika poczty. Mimo że nie widzieliśmy jeszcze jej wykorzystania, połączenie tych dwóch wektorów może prowadzić do pełnego przejęcia infrastruktury atakowanej organizacji.
Wskaźniki techniczne pozwalają nam z wysokim prawdopodobieństwem wiązać te działania ze zbiorem aktywności UNC1151. Według publikacji firm Mandiant i Google grupa UNC1151 jest łączona z rządem Białorusi.
Zalecenia:
Wszystkim podmiotom używającym oprogramowania Roundcube rekomendujemy:
- Aktualizację oprogramowania Roundcube do najnowszej wersji, obecnie są to wersje 1.6.11 i 1.5.10
- Analizę logów pod kątem połączeń z domeną a.mpk-krakow[.]pl
- Analizę otrzymanych maili pod kątem nadawców i tytułu opisanego w sekcji IoC
Podmiotom, które były celem ataku, rekomendujemy:
- Zmianę haseł użytkowników, którzy otrzymali wiadomość
- Weryfikację aktywności na kontach użytkowników, którzy otrzymali wiadomość
- Wyrejestrowanie Service Workera - w tym celu będąc na stronie poczty elektronicznej, należy przycisnąć klawisz F12, następnie przejść do zakładki Aplikacje -> Service Workers i wybrać opcję Wyrejestruj
- Wszystkie podmioty, które otrzymały wiadomość, powinny niezwłocznie wykonać zgłoszenie do właściwego dla siebie CSIRT-u
źródło cert.pl
Kampania UNC1151 wykorzystująca podatność w oprogramowaniu Roundcube do kradzieży poświadczeń
23-400 Ruda-Zagrody 10b