# CVE-2020-35730 - Roundcube Webmail XSS Armazenado (Operation RoundPress) > [!medium] CVE-2020-35730 é um XSS armazenado no Roundcube Webmail usado pelo grupo APT28 na Operation RoundPress — permite roubo de credenciais e emails via script malicioso injetado em mensagens recebidas, sem interação além da abertura do email. ## Visão Geral CVE-2020-35730 é uma vulnerabilidade de **Cross-Site Scripting (XSS) armazenado** no **Roundcube Webmail**, um cliente de webmail open-source popular em governos, universidades e organizações de médio porte. A falha permite que um atacante injete scripts JavaScript maliciosos via tag `<svg>` em mensagens de email, que são executados no navegador do destinatário quando a mensagem é visualizada. A **Operation RoundPress**, atribuída ao grupo russo **APT28** e investigada pela ESET, usou múltiplas vulnerabilidades XSS em webmail clients — incluindo CVE-2020-35730 — para espionagem direcionada a governos europeus e organizações militares. O ataque é particularmente insidioso pois não requer que a vítima clique em links; apenas abrir a mensagem no cliente web desencadeia o exploit. O JavaScript malicioso pode exfiltrar emails armazenados, cookies de sessão, senhas salvas no navegador e realizar requisições autenticadas em nome da vítima. O Roundcube tem presença relevante em organizações governamentais da América Latina que utilizam soluções open-source por restrições orçamentárias. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Stored XSS via `<svg>` em emails | | Interação requerida | Visualizar email no webmail | | Impacto | Roubo de sessão, emails, credenciais | | Campanha relacionada | Operation RoundPress (APT28) | | CVEs relacionadas | CVE-2020-35730, CVE-2023-43770, CVE-2023-37580 | ## TTPs Relacionadas - [[t1566-001-spearphishing-attachment|T1566.001]] - Spear-phishing por email - [[t1185-browser-session-hijacking|T1185]] - Sequestro de sessão web - [[t1114-email-collection|T1114]] - Coleta de emails via acesso à caixa - [[m1021-restrict-web-based-content|M1021]] - Filtrar conteúdo HTML em emails ## Contexto LATAM > [!latam] Roundcube é amplamente utilizado em prefeituras, universidades federais e tribunais de contas no Brasil. Instâncias desatualizadas foram identificadas em domínios `.gov.br` e `.edu.br`, tornando-as alvos potenciais de ataques de espionagem similares à Operation RoundPress. ## Detecção e Defesa **Mitigações recomendadas:** - Atualizar Roundcube para 1.4.10+ ou 1.3.17+ - Implementar CSP (Content Security Policy) para bloquear scripts inline - Habilitar sanitização de HTML em mensagens de email - Monitorar requisições HTTP anômalas originadas do webmail ## Referências - [Roundcube Security Advisory](https://roundcube.net/news/2021/01/04/security-updates-1.4.10-and-1.3.17) - [ESET — Operation RoundPress](https://www.welivesecurity.com/en/eset-research/operation-roundpress/) - [NVD CVE-2020-35730](https://nvd.nist.gov/vuln/detail/CVE-2020-35730)