ウェブメール「RoundCube」の脆弱性「CVE-2024-37383」、政府機関まで狙う

最近、ウェブメールであるRoundCubeで資格情報の盗難が可能な深刻なセキュリティ脆弱性（ CVE-2024-37383 ）が発見され、フィッシング攻撃の新たな経路として悪用されています。当脆弱性はCommonwealth of Independent States（CIS）の政府機関に対する攻撃で初めて報告され、RoundCubeのバージョン1.5.7および1.6.7のパッチを適用することで解決されましたが、パッチを適用していないユーザーには依然として悪用される可能性があり、注意が必要です。今回の記事では、RoundCubeの脆弱性を悪用した攻撃手法と、脅威ハンティングツールを使ってRoundCubeのウェブメールを使用するサーバーを検出する方法をご紹介します。

RoundCubeウェブメールの脆弱性「 CVE-2024-37383 」の詳細

今回の脆弱性は、RoundCubeウェブメールのSVGアニメーション属性で発生するクロスサイトスクリプティング（XSS）の問題です。攻撃者は、操作された電子メールに悪質なJavaScriptを挿入し、ユーザーがその電子メールを開くと、彼らのウェブブラウザでJavaScriptが実行されるようにします。特に、ユーザーが電子メールを開く際、自動的にマルウェアが実行され、資格情報の盗難や機密情報の流出のリスクが大きくなります。

Positive Technologiesによると、攻撃者は本文が空っぽで、添付ファイルのみを含む形式のメールを送信したそうです。メールには、eval(atob(...)形式のJavaScriptコードが隠されており、ユーザーがメールを開くとJavaScriptが自動的に実行される仕組みです。そのため、偽のログインウィンドウが表示され、被害者に資格情報を入力するように誘導することができました。

脅威ハンティングツール「Criminal IP」で世界中のRoundCubeのウェブメールサーバーを探す

Criminal IPのIT資産検索のフィルターのうち、「Tech Stack」フィルターを使用すると、特定の技術スタックが使用されているサーバーに対する結果のみを検索することができます。IT資産検索で「tech_stack: “RoundCube”」を検索した結果、全世界で4万台以上のRoundCubeウェブメールサーバーが発見されました。

外部に公開されているサーバーのみ検索されたものであり、この中にはすでにCVE-2024-37383のRoundCubeのウェブメール脆弱性のパッチが適用されたサーバーも含まれているでしょう。しかし、この4万台のサーバーの中には、重要な政府機関、公共機関、企業などで使用されるRoundCubeのウェブメールクライアントが混在しており、今回の脆弱性以外にも他の脆弱性の影響を受けるIPアドレスも多数発見され、脅威に対する対策が必要な状態です。

• https://www.criminalip.io/ja/asset/search?query=tech_stack%3A%20%22RoundCube%22

Search Query: tech_stack: “Roundcube”

Criminal IPのIT資産検索の結果、合計40,073件のIPアドレスにRoundCubeが検索されました。2024年11月4日時点のデータです。

• https://www.criminalip.io/ja/asset/report/20.166.65.XX

Criminal IPのIT資産検索で検索されたIPアドレスの1つの詳細な脅威レポートを確認した結果、開いている80番ポートでRoundCubeのウェブメールを確認することができました。

当ウェブメールサーバーがCVE-2024-37383の脆弱性に影響されるバージョンであれば、今回の攻撃に使われたフィッシングメール攻撃の対象になる可能性があります。このように、RoundCubeのウェブメールを使用する企業や機関は、当該脆弱性に対するパッチを適用し、フィッシング攻撃の脅威に備えることが重要です。

• https://www.criminalip.io/ja/intelligence/element-analysis/search?query=tech_stack%3A+%22RoundCube%22&category=asset&element=country

世界的に100以上の国でRoundCubeのサーバーが発見され、特にアメリカで8,000台以上、最も多くのRoundCubeサーバーを保有しています。続いて、インド、ドイツ、フランス、イギリス、カナダ、シンガポール、オランダが1,000個以上確認されました。

このように、世界中で広く使用されているRoundCubeのウェブメールサーバーは、セキュリティ脆弱性にさらされる危険性が非常に大きいため、このようなサーバーを使用する組織は直ちにセキュリティパッチを適用し、Criminal IPのようなツールを通じてサーバーのセキュリティ状態を継続的にチェックする必要があります。

RoundCubeウェブメールの資格情報盗難への対応策

RoundCubeのウェブメールユーザーは、最新のセキュリティパッチ（1.5.7および1.6.7バージョン）を直ちに適用する必要があり、疑わしいメールに対する注意とセキュリティ設定を強化することをお勧めします。また、Criminal IPを活用することで、サーバーのセキュリティ状態を継続的にモニタリングし、リアルタイムの脅威情報を確認し、脆弱性を迅速に検知・対応することができます。

フィッシングメールにより発生しかねないインシデントと関連して、迷惑メールブロックサービスも逃れるQRコードフィッシング、脅威インテリジェンスで検知されるのか？をご参照ください。

---

当レポートはサイバー脅威インテリジェンス検索エンジン「Criminal IP」のデータに基づいて作成されました。只今Criminal IPの無料アカウントを作成し、レポートに引用された検索結果の確認やより膨大な脅威インテリジェンスを自由に検索いただけます。

データの提供：Criminal IP（https://www.criminalip.io/ja）、The Hacker News（https://thehackernews.com/2024/10/hackers-exploit-roundcube-webmail-xss.html）

ご参照：

https://criminalipdotcodotjp.wpcomstaging.com/2023/12/14/qr%e3%82%b3%e3%83%bc%e3%83%89%e3%83%95%e3%82%a3%e3%83%83%e3%82%b7%e3%83%b3%e3%82%b0/