Angreifer attackieren eine Sicherheitslücke in dem Webmail-Programm Roundcube. Ein Update steht bereits länger bereit.
Wer seine E-Mails mit dem Webmail-Programm Roundcube verarbeitet, sollte sicherstellen, dass die aktuelle Fassung der Software installiert ist. Cyberkriminelle greifen eine Sicherheitslücke darin an. Ein Update zum Schließen der Schwachstelle gibt es bereits seit Mitte September vergangenen Jahres.
Die US-amerikanische IT-Sicherheitsbehörde CISA hat die Lücke jetzt in den Known-Exploited-Vulnerabilities-Katalog aufgenommen. Es wurden also Angriffe in freier Wildbahn auf die Schwachstelle beobachtet, und die obersten US-IT-Sicherheitsexperten verpflichten die US-Behörden, die Lücken innerhalb von zwei Wochen zu stopfen. Das ist auch für Administratorinnen und Administratoren in anderen Regionen der Welt ein sinnvoller Tipp.
Roundcube: missbrauchte Schwachstelle ist schon älter
Laut Versionsinformationen zu Roundcube 1.6.3 behebt das Sicherheitsupdateeine Cross-Site-Scripting-Lücke (XSS). Sie betrifft auch Roundcube vor den Versionen 1.4.14 sowie 1.5.4. Die XSS-Schwachstelle können Angreifer mit manipulierten reinen Text-E-Mails (Text/Plain) ausnutzen. Die Lücke geht auf fehlerhaftes Verhalten bei der Verarbeitung in dem Skript program/lib/Roundcube/rcube_string_replacer.php zurück (CVE-2023-43770, CVSS 6.1, Risiko “mittel“).
Wie die Angriffe im Detail aussehen und was die Cyberkriminellen damit erreicht haben oder erreichen wollen, erläutert die CISA jedoch nicht. Dennoch ist es ratsam, die IMAP-Mailverwaltung für den Webbrowser auf den aktuellen Stand zu bringen, um die Angriffsoberfläche der eigenen IT-Systeme zu minimieren.
Schwachstellen in Roundcube sind für Angreifer offenbar ein beliebtes Ziel. So wurden Mitte vergangenen Oktobers Sicherheitslücken in teils sogar neueren Roundcube-Versionen in-the-Wild missbraucht. Damals ließen sich die Schwachstellen mit HTML-E-Mails angreifen.