Laut dem IT-Sicherheitsdienstleister ESET hat die Cyberspionage-Gruppierung Winter Vivern eine Zero-Day-XSS-Schwachstelle in Roundcube Webmail-Servern (CVE-2023-5631) missbraucht.
Bei Winter Vivern handelt es sich um eine Cyberspionage-Gruppierung mit Verbindungen zu Russland und Belarus. In deren Aufklärungsinteresse stehen staatliche Stellen und Think Tanks in Europa. In der Vergangenheit hat sie bereits Schwachstellen in der Groupware-Lösung Zimbra attackiert, worüber die Cyberabwehr des Landesamtes für Verfassungsschutz Baden-Württemberg (LfV BW) bereits im April 2023 informierte.
Bei Cross-Site-Scripting-Angriffen (XSS) ist es einem Angreifer möglich, vertrauliche Benutzerinformationen zu stehlen und bösartigen Code auf anfälligen Systemen auszuführen. Entsprechende Sicherheitsupdates stehen inzwischen zur Verfügung. ESET stellt zudem einen ausführlichen Analysereport mit weiteren Details zum Angriff sowie Indizien für eine Betroffenheit (Indicators of Compromise) zur Verfügung.
Die Cyberabwehr des LfV BW empfiehlt Administratorinnen und Administratoren die Sicherheitsupdates so schnell wie möglich zu installieren und Systeme anhand der zur Verfügung gestellten IoCs zu überprüfen. Soweit Sie verdächtige Aktivitäten feststellen, sollten Sie dies umgehend den Sicherheitsbehörden mitteilen.