Hackers richten zich op Roundcube (update #3)

Een voorheen onbekende XSS exploit in Roundcube laat hackers JavaScript in de Roundcube-servertoepassing injecteren. Wij zijn in overleg over de te nemen stappen en mogelijkheden om het lek in Roundcube te repareren.

Update 27 oktober 16.40uur: Alle hosting omgeving zijn gepatched. Dat is fijn het weekend ingaan!

Update 27 oktober 14.00uur: De patches voor Roundcube zijn beschikbaar en worden momenteel op alle hosting omgevingen uitgerold. We verwachten dat de installatie van de patch voor 16.00uur afgerond is.

Update 26 oktober 15.37uur: We wachten momenteel op onze leverancier voor een patch. Zodra de patch beschikbaar is zullen wij deze installeren.

Een team van hackers met de naam Winter Vivern heeft gebruik gemaakt van een tot nu toe onbekende kwetsbaarheid in de veelgebruikte webmailsoftware Roundcube, aldus onderzoekers van het beveiligingsbedrijf ESET op woensdag.

Door deze kwetsbaarheid (bekend onder CVE-2023-5631) kunnen kwaadaardigen door het sturen van een speciaal vervaardigde e-mail, willekeurige JavaScript-code laden in het browservenster van de Roundcube-gebruiker. Door het bekijken van deze e-mail kunnen kwaadwillenden ervoor zorgen dat er e-mails verstuurd kunnen worden vanuit de mailbox van de getroffen Roundcube-gebruiker.

Voor meer informatie over dit lek in de Roundcube-servertoepassing raden wij dit uitstekende Nederlandstalige artikel van ESET aan en dit achtergrond artikel van ARS Technica.

Op dit moment zijn wij zowel intern als met onze leveranciers in overleg over de te nemen stappen en mogelijkheden om het lek in Roundcube te repareren.

Workaround

Het is mogelijk om tijdelijk gebruik te maken van een alternatieve toepassing voor webmail. Dit is een wijziging die per domeinnaam doorgevoerd wordt, niet per gebruiker. Om de webmail toepassing te wijzigen naar SOGo volgt je deze handleiding.