พบแฮกเกอร์ใช้ประโยชน์จากช่องโหว่ XSS ของ Roundcube Webmail เพื่อขโมยข้อมูลรับรองการเข้าสู่ระบบ

370/67 (IT) ประจำวันจันทร์ที่ 21 ตุลาคม 2567

บริษัทด้านความปลอดภัยทางไซเบอร์ Positive Technologies ได้เผยแพร่ข้อมูลว่ามีการโจมตีแบบฟิชชิ่งที่พยายามใช้ประโยชน์จากช่องโหว่ในซอฟต์แวร์เว็บเมลโอเพนซอร์ส Roundcube แม้ว่า Roundcube จะไม่ใช่ซอฟต์แวร์ที่ได้รับความนิยมสูงสุด แต่หน่วยงานรัฐบาลหลายแห่งยังคงใช้ซอฟต์แวร์นี้ ซึ่งทำให้เป็นเป้าหมายสำคัญของแฮกเกอร์

การโจมตีนี้เริ่มต้นด้วยการส่งอีเมลที่ดูเหมือนจะไม่มีข้อความใด ๆ แต่แฝงไปด้วยโค้ด JavaScript ที่ทำให้แฮกเกอร์สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนได้ โดยใช้ประโยชน์จากช่องโหว่ CVE-2024-37383 ซึ่งเป็นปัญหาด้านความปลอดภัยประเภท Cross-site Scripting (XSS) โดยกลุ่มผู้ไม่หวังดีสามารถหลอกให้เหยื่อเปิดอีเมลที่ถูกออกแบบมาโดยเฉพาะ ทำให้เกิดการรันโค้ด JavaScript ที่ทำให้สามารถเข้าถึงข้อมูลสำคัญ เช่น ชื่อผู้ใช้และรหัสผ่าน จากนั้นจะส่งข้อมูลเหล่านี้ไปยังเซิร์ฟเวอร์ที่แฮกเกอร์ควบคุมอยู่ ซึ่งมีการโฮสต์บน Cloudflare ซึ่งในปัจจุบัน แม้ยังไม่สามารถระบุได้ชัดเจนว่าใครเป็นผู้ก่อเหตุ แต่ Positive Technologies ชี้ว่าแฮกเกอร์กลุ่ม APT28, Winter Vivern และ TAG-70 เคยใช้ช่องโหว่ที่คล้ายคลึงกันใน Roundcube มาก่อน โดยเหตุการณ์นี้ชี้ให้เห็นถึงความสำคัญของการอัปเดตซอฟต์แวร์ให้ทันสมัยอยู่เสมอ เนื่องจากช่องโหว่ที่ค้นพบและแก้ไขแล้วไปแล้วตั้งแต่เดือนพฤษภาคม 2024 ก็ยังสามารถนำไปสู่การขโมยข้อมูลที่มีมูลค่าสูงได้อย่างง่ายดาย หากไม่ได้รับการอัปเดต

แหล่งข่าว https://thehackernews.com/2024/10/hackers-exploit-roundcube-webmail-xss.html