# CVE-2023-43770 > [!medium] XSS no Roundcube Webmail - explorado pela campanha RoundPress do APT28/Sednit > Vulnerabilidade de Cross-Site Scripting no Roundcube Webmail explorada pela campanha **Operation RoundPress** (atribuída ao APT28/Sednit) para roubar emails e credenciais de servidores governamentais e militares europeus. ## Visão Geral A [[cve-2023-43770|CVE-2023-43770]] é uma vulnerabilidade de Cross-Site Scripting (XSS) no Roundcube Webmail, cliente de email web open-source amplamente utilizado por governos, organizações acadêmicas e provedores de hospedagem ao redor do mundo. A falha permite injetar JavaScript malicioso através de um email especialmente formatado com links no formato `\n` (newline) que bypassam a sanitização. A campanha [[operation-roundpress|Operation RoundPress]], atribuída pelo ESET ao grupo [[apt28|APT28]] (Sednit/Fancy Bear, associado ao GRU russo), explorou esta e outras CVEs do Roundcube para comprometer caixas de email de organizações governamentais e militares em países europeus como Ucrânia, Bulgária, Romênia e Grécia. O objetivo era roubo de credenciais de email e acesso persistente à correspondência governamental. Para organizações brasileiras que utilizam Roundcube - incluindo muitas universidades federais e prefeituras que optam por soluções de email open-source - esta vulnerabilidade ressalta a importância de manter servidores de email sempre atualizados e monitorados. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | **CVSS** | 6.1 (Medium) | | **Tipo** | Cross-Site Scripting (XSS) persistente | | **Produto** | Roundcube Webmail | | **Versões afetadas** | < 1.6.4, < 1.5.5 | | **Patch** | 1.6.4 / 1.5.5 (15 set 2023) | | **Gatilho** | Receber email com link malicioso formatado | ## Campanha Operation RoundPress A campanha demonstrou a eficiência de XSS em clientes de email: 1. APT28 envia email de spear-phishing com link malicioso 2. A vítima visualiza o email no Roundcube vulnerável 3. JavaScript injetado executa em contexto da sessão autenticada 4. Script exfiltra emails, anexos e credenciais para C2 do atacante 5. Sessão de email da vítima permanece comprometida de forma silenciosa **TTPs relacionados:** [[t1566-001-spearphishing-attachment|T1566.001]] · [[t1189-drive-by-compromise|T1189]] · [[t1539-steal-web-session-cookie|T1539]] · [[t1056-input-capture|T1056]] ## Detecção e Defesa **Mitigação imediata:** - Atualizar Roundcube para 1.6.4 ou superior - Implementar Content Security Policy (CSP) rigorosa no servidor - Monitorar requisições JavaScript de saída durante sessões de email **Mitigações MITRE:** [[m1051-update-software|M1051]] · [[m1021-restrict-web-based-content|M1021]] · [[m1017-user-training|M1017]] > [!latam] Relevância LATAM > Universidades federais brasileiras, prefeituras e entidades governamentais de menor porte frequentemente utilizam Roundcube como solução de webmail. O modelo de ataque da **Operation RoundPress** é diretamente replicável contra alvos latinoamericanos - atualizações de Roundcube devem ser tratadas como prioridade de segurança. ## Referências - [ESET - Operation RoundPress](https://www.welivesecurity.com/en/eset-research/operation-roundpress/) - [Roundcube Security Advisory](https://roundcube.net/news/2023/09/15/security-updates-1.6.4-and-1.5.5)