ESET tyrėjai nustatė, kad „Winter Vivern“ kibernetinio šnipinėjimo grupė pradėjo išnaudoti nulinės dienos (angl. zero-day) XSS pažeidžiamumą „Roundcube Webmail“ serveriuose. Vykdant XSS ataką, kenkėjiški skriptai įterpiami į patikimas interneto svetaines. ESET telemetrijos duomenimis, kampanija buvo nukreipta į „Roundcube Webmail“ serverius, priklausančius Europos šalių vyriausybėms ir vienam Europoje įsikūrusiam analitiniam centrui.
„Roundcube“ yra atvirojo kodo žiniatinklio pašto serveris, kurį plačiai naudoja įvairios organizacijos, taip pat ir kai kurie svetainių talpinimo paslaugas Lietuvoje teikiantys tiekėjai.
„Jei žinote, kad jūsų paslaugų teikėjas naudoja „Roundcube“ pašto serverius, rekomenduojame pasitikslinti, ar saugumo spraga jau yra ištaisyta ir nėra grėsmės jūsų organizacijos duomenims ir reputacijai“, – komentuoja „ESET Lietuva“ inžinierius Gediminas Mikelionis.
Pažeidžiamumas buvo aptiktas spalio 12 d., ESET apie jį informavo „Roundcube“, kuri šią spragą nedelsdama ištaisė ir spalio 14 d. išleido saugumo atnaujinimus.
XSS pažeidžiamumą CVE-2023-5631 galima išnaudoti nuotoliniu būdu siunčiant specialiai sukurtą el. laišką. Iš pirmo žvilgsnio jis neatrodo kenkėjiškas, tačiau HTML šaltinio kodo pabaigoje galima pamatyti SVG grafikos žymą, kurioje užkoduotas kenkėjiškų veiksmų užkrovimas (angl. payload). Siųsdami specialiai sukurtą el. laišką, piktavaliai gali įkelti savavališką „JavaScript“ kodą „Roundcube“ vartotojo naršyklės lango kontekste. Tam nereikia nieko spausti – užtenka peržiūrėti laišką žiniatinklio naršyklėje. Naujausia „JavaScript“ kenkėjiško kodo versija gali išsiųsti el. laiškus į įsilaužėlių valdomą serverį.
„Winter Vivern“ yra kibernetinio šnipinėjimo grupė, kuri, kaip manoma, veikia bent jau nuo 2020 m. ir taikosi į Europos ir Centrinės Azijos vyriausybes. Siekdama sukompromituoti savo taikinius, grupė naudoja kenkėjiškus dokumentus, fišingo svetaines ir „PowerShell“ skriptus. ESET ekspertų manymu, tikėtina, kad „Winter Vivern“ grupė yra susijusi su „MoustachedBouncer“ – Baltarusijos interesus palaikančia grupe, apie kurią ESET pirmą kartą informavo 2023 metų rugpjūtį. „Winter Vivern“ atakuoja vyriausybėms priklausančius „Zimbra“ ir „Roundcube“ el. pašto serverius bent jau nuo 2022 metų.