사이버보안 연구원들은 Roundcube 웹메일 소프트웨어의 보안 결함에 대한 세부 정보를 공개했습니다. 이 결함은 특정 상황에서 피해자의 웹 브라우저에서 악성 자바스크립트를 실행하고 계정에서 민감한 정보를 훔치는 데 악용될 수 있습니다.
사이버 보안 회사인 Sonar는 이번 주에 발표한 분석에서 “피해자가 Roundcube에서 공격자가 보낸 악성 이메일을 볼 때 공격자는 피해자의 브라우저에서 임의의 JavaScript를 실행할 수 있습니다.”라고 밝혔습니다.
“공격자는 취약점을 악용하여 이메일, 연락처, 피해자의 이메일 비밀번호를 훔칠 수 있고, 피해자의 계정에서 이메일을 보낼 수도 있습니다.”
2024년 6월 18일에 책임 있는 공개를 거쳐, 세 가지 취약점은 2024년 8월 4일에 출시된 Roundcube 버전 1.6.8 및 1.5.8에서 해결되었습니다.
취약점 목록은 다음과 같습니다.
- CVE-2024-42008 – 위험한 Content-Type 헤더와 함께 제공된 악성 이메일 첨부 파일을 통한 크로스 사이트 스크립팅 결함
- CVE-2024-42009 – 정제된 HTML 콘텐츠의 후처리로 인해 발생하는 크로스 사이트 스크립팅 결함
- CVE-2024-42010 – CSS 필터링이 부족하여 발생하는 정보 공개 결함
앞서 언급한 취약점을 성공적으로 악용하면 인증되지 않은 공격자가 이메일과 연락처를 훔칠 수 있고, 피해자의 계정에서 이메일을 보낼 수도 있습니다. 하지만 그 공격은 Roundcube에서 특별히 작성된 이메일을 확인한 이후에 가능합니다.
보안 연구원인 오스카 제이노-마흐말라트는 “공격자는 재시작 후에도 피해자의 브라우저에 지속적으로 침투해 이메일을 계속 빼내거나 다음에 피해자가 비밀번호를 입력할 때 비밀번호를 훔칠 수 있다”고 말했습니다.
“성공적인 공격을 위해 공격자의 이메일을 보는 것 이상의 사용자 상호작용은 심각한 XSS 취약성(CVE-2024-42009)을 악용하는 데 필요하지 않습니다. CVE-2024-42008의 경우, 악용이 작동하려면 피해자가 한 번만 클릭하면 되지만, 공격자는 사용자에게 이 상호작용을 눈에 띄지 않게 만들 수 있습니다.”
사용자가 최신 버전으로 업데이트할 수 있도록 시간을 주기 위해 이 문제에 대한 추가적인 기술적 세부 사항은 공개되지 않았으며, APT28, Winter Vivern, TAG-70과 같은 국가 차원의 행위자들이 웹메일 소프트웨어의 결함을 반복적으로 악용하고 있다는 사실도 고려되었습니다.
RaspAP 오픈소스 프로젝트(CVE-2024-41637, CVSS 점수: 10.0)의 최대 심각도 로컬 권한 상승 결함에 대한 세부 정보가 공개됨에 따라 발견된 사항입니다. 이 결함은 공격자가 루트로 승격하고 여러 가지 중요한 명령을 실행할 수 있도록 합니다. 이 취약점은 버전 3.1.5에서 해결되었습니다.
“www-data 사용자는 restapi.service 파일에 대한 쓰기 권한이 있으며, 암호 없이 여러 가지 중요한 명령을 실행할 수 있는 sudo 권한도 가지고 있습니다.” 온라인 별칭 0xZon1을 사용하는 보안 연구원이 말했습니다. “이러한 권한 조합을 통해 공격자는 서비스를 수정하여 루트 권한으로 임의의 코드를 실행하고 www-data에서 루트로 액세스를 확대할 수 있습니다.”