Il gruppo di hacker russi Winter Vivern ha sfruttato una vulnerabilità zero-day di Roundcube Webmail, sferrando attacchi contro enti governativi e think tank europei. Succede almeno dall’11 ottobre scorso, ma “è la seconda volta negli ultimi mesi che il server di webmail Roundcube viene colpito da un exploit zero-day”, spiega Massimo Tripodi, Country Manager Italy di Veracode, “con l’agenzia di cyber sicurezza del governo statunitense CISA che ha aggiunto una falla di sicurezza nel server al suo catalogo Known Exploited Vulnerabilities (KEV) già nel giugno 2023”.
“L’aspetto interessante di questa campagna”, commenta Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “è la capacità dell’attore malevolo di identificare e sfruttare vulnerabilità zero-day in sistemi per la gestione delle email delle proprie vittime”.
Ecco come mitigare il rischio.
Indice degli argomenti
Vulnerabilità zero day in Roundcube Webmail
Il team di sviluppo di Roundcube ha rilasciato aggiornamenti di sicurezza che risolvono la vulnerabilità Stored Cross-Site Scripting (XSS). I ricercatori ESET hanno segnalato CVE-2023-5631 il 16 ottobre.
“Questa capacità (dell’attore malevolo di individuare e utilizzare falle zero-day, ndr)”, continua Paganini, “rende gruppi politicamente motivati come Wintern Vivern estremamente pericolosi in quanto le loro attività di spionaggio possono rimanere nascoste per mesi con importanti ripercussioni sulle vittime”.
ESET ha infatti scoperto che il gruppo di cyber spionaggio (noto anche come TA473) ha utilizzato messaggi email HTML contenenti documenti SVG, realizzati ad arte per iniettare da remoto codice arbitrario JavaScript.
Il phishing si maschera da messaggi che sembrano provenire da un team di Outlook, cercando di indurre le potenziali vittime ad aprire le email malevole, per innescare in automatico un payload di primo livello in grado di sfruttare la vulnerabilità del server Roundcube Webmail.
Il payload finale in JavaScript, al centro degli attacchi, ha aiutato i malintenzionati a raccogliere e rubare le email dai server webmail compromessi.
“Fortunatamente in questo caso”, sottolinea Paganini, “le capacità di threat hunting e detection dell’azienda di ESET hanno scongiurato il peggio consentendo una rapida identificazione della vulnerabilità zero-day e la sua mitigazione“.
“Inviando un messaggio e-mail appositamente creato, gli aggressori sono in grado di caricare codice JavaScript arbitrario nel contesto della finestra del browser dell’utente di Roundcube. Non è richiesto alcun intervento manuale oltre alla visualizzazione del messaggio in un browser web”, ha spiegato ESET.
“Il payload JavaScript finale (…) è in grado di elencare le cartelle e le e-mail nell’account Roundcube corrente e di trasferire i messaggi email al server C&C”.
I dettagli tecnici
Individuato per la prima volta nell’aprile del 2021, Winter Vivern ha attirato l’attenzione per aver deliberatamente preso di mira entità governative in tutto il mondo, tra cui Paesi come India, Italia, Lituania, Ucraina e Vaticano. Secondo i ricercatori di SentinelLabs, gli obiettivi del gruppo sono strettamente allineati con gli interessi dei governi di Bielorussia e Russia.
Winter Vivern ha preso attivamente di mira i server email Zimbra e Roundcube di proprietà di organizzazioni governative almeno dal 2022. Questi attacchi includono lo sfruttamento della vulnerabilità XSS di Roundcube (CVE-2020-35730) tra agosto e settembre 2023, secondo i dati telemetrici di ESET.
In particolare, l’intelligence militare russa di APT28, affiliati alla Direzione principale dell’intelligence dello Stato Maggiore russo (GRU), sfruttano questa stessa vulnerabilità, per compromettere i server email Roundcube appartenenti al governo ucraino.
Le cyber spie russe hanno anche sfruttato la vulnerabilità XSS di Zimbra CVE-2022-27926 in attacchi contro i Paesi della NATO per rubare email appartenenti a funzionari, governi e personale militare della NATO.
“Il gruppo Winter Vivern rappresenta una minaccia per i governi europei a causa della sua persistenza, dell’esecuzione molto regolare di campagne di phishing e del fatto che un numero significativo di applicazioni rivolte a Internet non vengono aggiornate regolarmente nonostante siano note le loro vulnerabilità”, dichhiara ESET.
Come mitigare il rischio
La patch è urgente. Introdotta cinque giorni dopo che la società di cyber sicurezza ha individuato gli attori russi dietro le minacce che sfruttano lo zero-day, presente in Roundcube Webmail, in attacchi reali, il security update è disponibile.
Inoltre “è fondamentale mantenere sempre aggiornati sistemi di qualunque organizzazione“, conclude Paganini, “per garantire la resilienza una volta che le vulnerabilità sono state individuate e risolte dai vari vendor”.
Infatti, l’aggiornamento è una priorità. “Le vulnerabilità del software si manifestano con sempre maggiore frequenza, comportando un aumento del rischio di exploit zero-day. Le librerie open-source sono in continua evoluzione e ciò che oggi sembra sicuro potrebbe non esserlo domani. Nonostante questo panorama dinamico”, continua Massimo Tripodi, “la nostra ricerca State of Software Security ha scoperto un gap evidente nella sicurezza open source: nel 79% dei casi, gli sviluppatori non si occupano mai di aggiornare le librerie di terze parti dopo averle inserite nel codice, nonostante oltre due terzi delle correzioni siano minori e non interrompano di fatto la funzionalità anche delle applicazioni software più complesse”.
“Se gli sviluppatori sono consapevoli delle implicazioni delle vulnerabilità e danno alla sicurezza la giusta priorità, possono risolvere facilmente la maggior parte delle falle”, mette in guardia Tripodi: “Il 92% delle vulnerabilità presenti nelle librerie può essere risolto con un aggiornamento, di cui il 69% consiste semplicemente in una piccola modifica di versione, o anche meno”.
“Con vendor che devono applicare controlli sempre più severi della sicurezza della loro supply chain, non si può adottare una mentalità “’imposta e dimentica'”, avverte Tripodi: “È fondamentale che le aziende mantengano aggiornati questi componenti e rispondano rapidamente alle nuove vulnerabilità rilevate. Una prevenzione di livello superiore dello scripting cross-site implica un codice ben scritto e accuratamente testato, unito a strumenti di protezione che monitorino e analizzino tutti gli input a un sito web”.
“La prevenzione dello scripting cross-site può avvenire con strumenti di qualità superiore per il test del codice, mentre una vulnerabilità di questo tipo può essere identificata e risolta con tool di monitoraggio e convalida di tutti gli input portati al sito. Poiché i metodi per sfruttare una vulnerabilità di scripting cross-site continuano a evolversi, la soluzione più efficace per prevenire gli attacchi XSS è affidarsi a un servizio di application security basato su cloud”, conclude Tripodi.
