CISA: Fallo del servidor de Roundcube ya está siendo explotado en ataques

CISA informa de que una vulnerabilidad en el servidor de correo Roundcube, parcheada en septiembre, está siendo explotada activamente en ataques de cross-site scripting (XSS).

El fallo de seguridad (CVE-2023-43770) es un error persistente de cross-site scripting (XSS) que permite a los atacantes acceder a información restringida a través de mensajes de texto plano o enlaces maliciosos en ataques de baja tecnología que requieren la interacción del usuario.

La vulnerabilidad afecta a los servidores de correo Roundcube que ejecutan versiones más recientes que 1.4.14, 1.5.x antes de 1.5.4, y 1.6.x antes de 1.6.3.

«Recomendamos encarecidamente actualizar todas las instalaciones productivas de Roundcube 1.6.x a esta nueva versión», dijo el equipo de seguridad de Roundcube cuando publicó las actualizaciones de seguridad CVE-2023-43770 hace cinco meses.

Aunque no proporcionó detalles de los ataques, CISA añadió la vulnerabilidad a su catálogo de vulnerabilidades conocidas y explotadas, advirtiendo de que tales fallos de seguridad son «vectores de ataque frecuentes para ciberactores malintencionados y plantean riesgos significativos para la empresa federal».

La CISA también ha ordenado a las agencias federales civiles estadounidenses (FCEB) que protejan los servidores de correo web Roundcube contra el fallo de seguridad en un plazo de tres semanas, antes del 4 de marzo, de conformidad con una directiva operativa vinculante (BOD 22-01) emitida en noviembre de 2021.

Aunque el objetivo principal del catálogo KEV es alertar a los organismos federales de las vulnerabilidades que deben parchear lo antes posible, también se recomienda encarecidamente a las organizaciones privadas de todo el mundo que aborden este fallo con carácter prioritario.

Shodan está rastreando actualmente más de 132.000 servidores Roundcube accesibles en Internet. Sin embargo, no se dispone de información sobre el número de servidores vulnerables a los ataques en curso que utilizan los exploits CVE-2023-43770.

Otra vulnerabilidad de Roundcube, una vulnerabilidad de secuencias de comandos en sitios cruzados (XSS) almacenada y catalogada como CVE-2023-5631, ha sido objeto de ataques de día cero por parte del grupo de hackers ruso Winter Vivern (alias TA473) desde al menos el 11 de octubre.

Los atacantes utilizaban correos electrónicos HTML que contenían documentos SVG maliciosos cuidadosamente diseñados para inyectar código JavaScript arbitrario de forma remota.

El código JavaScript inyectado en los ataques de octubre permitió a los hackers rusos robar correos electrónicos de servidores de correo web Roundcube comprometidos pertenecientes a entidades gubernamentales y grupos de reflexión de Europa.

Los operadores de Winter Vivern también explotaron la vulnerabilidad XSS de Roundcube CVE-2020-35730 entre agosto y septiembre de 2023.

El mismo fallo fue utilizado por el grupo de ciberespionaje ruso APT28, parte de la Dirección Principal de Inteligencia del Estado Mayor ruso (GRU), para penetrar en servidores de correo electrónico Roundcube pertenecientes al gobierno ucraniano.

Los hackers de Winter Vivern también explotaron la vulnerabilidad XSS CVE-2022-27926 de Zimbra a principios de 2023 para atacar a países de la OTAN y robar correos electrónicos pertenecientes a gobiernos, funcionarios y personal militar de la OTAN.