러시아 APT 그룹, Roundcube 웹메일 제로데이 XSS 공격 - 보안기사 읽기 7주차 3일

 

10월 11일,

러시아 APT 그룹인 Winter Vivern (TA473)이

웹메일 소프트웨어 Roundcube의 취약점을 활용해

제로데이 공격을 시도했습니다.

 

 

3월에는 패치되지 않은 Zimbra 취약점을 이용해

NATO officials, 정부나 군사, 외교부 직원 상대로

공격을 시도한 기록이 있습니다. 

 

2020년부터 출현해 유럽, 중앙아시아 정부를 쭉 노려온 것으로 알려져있습니다.

 

 

이메일 내용을 보면 진짜 이메일 작성자가 outlook.com 에서 온것처럼보이고 

링크도 microsoft여서 신뢰가 갑니다.

 

하지만 웹메일 소프트웨어 Roundcube의 취약점을 이용해서

 

<svg id=”x” xmlns=”http://www.w3.org/2000/svg”> 
<image href=”x” onerror=”eval(atob(‘<base64-encoded payload>’))” />
</svg>

svg에 대한 검증을 확실히 하지 않아 

해당 svg에 대해서는 이미지 onerror XSS 스크립트가 통하는 것이였습니다.

 

base64 코드를 디코드하면서 실행되는데 payload가 탐지되지 않도록 했습니다. 

메일을 보내면 메일 내용인 rcube_washtml.php에 결국 포함되는 거죠

 

 

 

이 취약점은 낮은 수준의 toolsets 임에도 불구하고

유럽 정부 등에 위험할 수 있는 것이였습니다. 피싱 공격에 효과적이기 때문이죠

 

10월 16일에야 패치를 내놓기 전까지는 제로데이였고

그 이전 버전은 아직도 공격이 가능해 업데이트가 필요합니다.