Resumen sobre las Campañas de Phishing y Vulnerabilidades en RoundCube
Introducción
CERT Polska ha reportado una reciente campaña de phishing que afecta a entidades polacas. Esta amenaza se ha centrado en explotar la vulnerabilidad CVE-2024-42009, permitiendo la ejecución de código JavaScript a través de correos electrónicos maliciosos, con el fin de robar credenciales de los usuarios. Además, se identificó una nueva vulnerabilidad en RoundCube, CVE-2025-49113, que permite a atacantes autenticados ejecutar códigos y potencialmente tomar control del servidor Webmail.
Detalles de la Campaña de Phishing
El ataque se atribuye con alta confianza al grupo UNC1151, relacionado con el gobierno bielorruso y vinculado también a los servicios de inteligencia rusos. Los correos electrónicos utilizados en esta campaña contenían temas persuasivos para incitar a las víctimas a actuar rápidamente. Abrir estos correos fue suficiente para explotar la vulnerabilidad CVE-2024-42009.
Un ejemplo del contenido del correo, traducido al inglés, es:
- Asunto: (!IMPORTANTE) Factura para el número de reserva: S2500650676
- Cuerpo: Solicitud para emitir una factura por un billete adjunto, incluyendo detalles de la empresa y agradecimientos.
Vulnerabilidad CVE-2024-42009
Esta vulnerabilidad en RoundCube permite a un atacante ejecutar JavaScript arbitrario tras la apertura de un correo electrónico específico. RoundCube, como cliente de correo accesible por navegadores, debería proteger a los usuarios de código malicioso. Sin embargo, el proceso de desinfección de mensajes HTML puede ser complicado, lo que permite a los atacantes explotar tales vulnerabilidades.
CERT Polska ha identificado múltiples vulnerabilidades de este tipo en los proveedores de correo polacos desde 2021 hasta 2022, incluyendo otra en RoundCube. La vulnerabilidad dentro de esta campaña ya había sido corregida en versiones recientes de RoundCube, lo que sugiere que las instalaciones atacadas estaban desactualizadas.
Ejecución del Código Malicioso
El ataque se desarrolla en dos fases. La primera parte inyecta un "trabajador de servicio" en el navegador de la víctima al aprovechar la vulnerabilidad. Este trabajador ejecuta JavaScript adicional desde un archivo adjunto, permitiendo que el código malicioso persista y actúe en segundo plano.
Una vez que el trabajador de servicio está instalado, se redirige a la víctima a una página de inicio de sesión legítima del correo web. Aqui, se captura la información de inicio de sesión, que es luego enviada a un servidor controlado por los atacantes. El análisis realizado en una de las entidades afectadas mostró que, tras robar credenciales, los atacantes accedieron a los buzones, analizaron su contenido y, a veces, utilizaron las cuentas para enviar más correos de phishing.
Nueva Vulnerabilidad CVE-2025-49113
Recientemente, se ha descubierto una nueva vulnerabilidad en RoundCube (CVE-2025-49113), que podría combinarse con cuentas comprometidas para crear un ataque aún más eficiente. Si bien no se han visto signos de explotación de esta nueva vulnerabilidad, su descubrimiento es preocupante.
Recomendaciones de Seguridad
Las organizaciones que utilizan RoundCube deben tomar medidas inmediatas:
- Actualización: Asegurarse de que RoundCube esté actualizado a la última versión (1.6.11 o 1.5.10).
- Análisis de Registros: Revisar los registros de red en busca de eventos relacionados con los dominios utilizados por los atacantes.
- Revisión de Correos: Evaluar correos electrónicos recibidos para identificar indicadores de compromiso.
Para las entidades atacadas, se recomienda realizar un restablecimiento de contraseñas, verificar la actividad de los usuarios afectados, y desinstalar cualquier trabajador de servicio no validado.
Conclusión
La campaña de phishing observada, junto con las vulnerabilidades en RoundCube, pone de relieve la importancia de la seguridad y la pronta actualización de los sistemas. Las entidades afectadas deben actuar con rapidez para mitigar riesgos y proteger a sus usuarios de futuras amenazas.