Af Eskil Sørensen, 21/02/24
En russisk spionagegruppe er blevet observeret udnytte sårbare Roundcube-webmailservere i angreb mod europæiske regeringer, militære og kritiske infrastrukturenheder. Det skriver Security Week med henvisning til en rapport fra cybersikkerhedsfirmaet Recorded Future.
Trusselsaktøren med navnene Winter Vivern, TA473, TAG-70 og UAC-0114 og skal have været aktiv siden mindst december 2020 i forsøg på at pleje hviderussiske og russiske interesser.
Konkret blev Winter Vivern set i forsøg på at udnytte CVE-2023-5631, som er en Cross Site Scripting (XSS) 0-dagssårbarhed i Roundcube webmail-serveren. Det er sket i angreb rettet mod statslige enheder og en tænketank i Europa. Det skete, fremgår det af rapporten, i oktober 2023, hvor sårbare Roundcube-servere blev udnyttet i angreb mod mindst 80 organisationer, hovedsageligt i Georgien, Polen og Ukraine. Angrebene ramte også de iranske ambassader i Moskva og Holland og Georgiens ambassade i Sverige.
Roundcube er en gratis open source-software webbaseret IMAP e-mail-klient.
Medium CVSS-score
CVE-2023-5631 fik ellers kun scoren 6,1 af den CNA (dvs. CVE numbering authority), der har indmeldt sårbarheden, mens NVD gav den 5,4. At sårbarheden alligevel udnyttes, er et udtryk for, at trusselsaktøren har kastet ressourcer i projektet - måske ud fra den betragtning, at sårbarheder med en score i medium-klassen ikke prioriteres af systemadministratorer og derfor giver mulighed for ‘fri leg’. Det er i al fald en kendt sag blandt researchere og også trusselsaktører, at det kan betale sig, at gøre en ekstra indsats for at udvikle exploits og udnyttelse i de vanskeligt udnytbare sårbarheder.
CISA satte i øvrigt sårbarheden på listen over kendte udnyttede sårbarheder den 26. oktober 2023 med deadline for håndtering den 16. november. Disse tre uger og muligvis nogle uger før altså været tid nok til at gennemføre udnyttelserne og spionagen.
Recorded Future skriver, at målene primært har været webmailservere hos regeringer og i militæret, men også transport- og uddannelsessektoren og forskningsorganisationer inden for den kemiske /biologiske industri har været i fokus.
Metoden til angrebene har været de klassiske: Social engineering og udnyttede XSS-fejl gav adgang til de målrettede mailservere og mulighed for at indsamle efterretninger om politiske og militære aktiviteter.
At Recorded Future kan udpege en russisk spionagegruppe skyldes, at de har set genbrug af infrastruktur og artefakter (HTTP-bannere) som har været observeret i tidligere kampagner, ligesom der er set ligheder med koder, som før er blevet anvendt af gruppen.
Uanset motiv, mål og hvem den angribende part måtte være, så er læren af historien, at også lavt scorede sårbarheder skal patches, hvis man har sine data kært.
Links:
https://www.securityweek.com/russian-cyberspies-exploit-roundcube-flaws-...