07 de agosto de 2024Ravie LakshmananSeguridad del correo electrónico / Vulnerabilidad Los investigadores de ciberseguridad han revelado detalles de fallas de seguridad en el software de correo web Roundcube que podrían explotarse para ejecutar JavaScript malicioso en el navegador web de una víctima y robar información confidencial de su cuenta en circunstancias específicas. «Cuando una víctima ve un correo electrónico malicioso en Roundcube enviado por un atacante, el atacante puede ejecutar JavaScript arbitrario en el navegador de la víctima», dijo la empresa de ciberseguridad Sonar en un análisis publicado esta semana. «Los atacantes pueden aprovechar la vulnerabilidad para robar correos electrónicos, contactos y la contraseña de correo electrónico de la víctima, así como para enviar correos electrónicos desde la cuenta de la víctima». Tras una divulgación responsable el 18 de junio de 2024, las tres vulnerabilidades se han abordado en las versiones 1.6.8 y 1.5.8 de Roundcube publicadas el 4 de agosto de 2024. La lista de vulnerabilidades es la siguiente: CVE-2024-42008: una falla de secuencias de comandos entre sitios a través de un archivo adjunto de correo electrónico malicioso entregado con un encabezado Content-Type peligroso CVE-2024-42009: una falla de secuencias de comandos entre sitios que surge del posprocesamiento de contenido HTML desinfectado CVE-2024-42010: una falla de divulgación de información que surge de un filtrado CSS insuficiente La explotación exitosa de las fallas mencionadas anteriormente podría permitir a atacantes no autenticados robar correos electrónicos y contactos, así como enviar correos electrónicos desde la cuenta de una víctima, pero después de ver un correo electrónico especialmente diseñado en Roundcube. «Los atacantes pueden obtener una posición persistente en el navegador de la víctima después de reiniciar el sistema, lo que les permite extraer correos electrónicos continuamente o robar la contraseña de la víctima la próxima vez que la ingrese», dijo el investigador de seguridad Oskar Zeino-Mahmalat. «Para que un ataque tenga éxito, no se requiere interacción del usuario más allá de ver el correo electrónico del atacante para explotar la vulnerabilidad XSS crítica (CVE-2024-42009). Para CVE-2024-42008, se necesita un solo clic por parte de la víctima para que el exploit funcione, pero el atacante puede hacer que esta interacción no sea obvia para el usuario». Se han ocultado detalles técnicos adicionales sobre los problemas para dar tiempo a los usuarios a actualizar a la última versión, y a la luz del hecho de que los fallos en el software de correo web han sido explotados repetidamente por actores de estados nacionales como APT28, Winter Vivern y TAG-70. Los hallazgos se producen a medida que han surgido detalles sobre una falla de escalada de privilegios locales de máxima gravedad en el proyecto de código abierto RaspAP (CVE-2024-41637, puntuación CVSS: 10.0) que permite a un atacante elevarse a root y ejecutar varios comandos críticos. La vulnerabilidad se ha solucionado en la versión 3.1.5. «El usuario www-data tiene acceso de escritura al archivo restapi.service y también posee privilegios sudo para ejecutar varios comandos críticos sin una contraseña», dijo un investigador de seguridad que usa el alias en línea 0xZon1. «Esta combinación de permisos permite a un atacante modificar el servicio para ejecutar código arbitrario con privilegios de root, escalando su acceso de www-data a root». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.