È stata scoperta una vulnerabilità di sicurezza senza patch da oltre 9 anni nel software che potrebbe essere sfruttata per ottenere l’accesso completo agli account di posta elettronica visualizzando semplicemente in anteprima un allegato.
Secondo i ricercatori di SonarSource, “Questo bug offre all’attaccante l’accesso a tutte le informazioni sensibili memorizzate all’interno del proprio account di posta elettronica, per espandersi fino all’accesso ai servizi interni di un’organizzazione”.
Horde è un progetto nato come una suite di comunicazione gratuita basata su browser che consente agli utenti di ricevere e inviare email, salvare contatti, condividere calendari e gestire attività e file.
Il difetto è stato introdotto come parte di una modifica al codice il 30 novembre 2012 e si tratta di scripting incrociato, noto anche come XSS persistente. In sostanza, consente all’attaccante di creare un documento OpenOffice in modo che, quando viene visualizzato in anteprima, esegua in modo automatico un payload JavaScript arbitrario.
In generale, gli attacchi XSS si verificando quando uno script dannoso viene iniettato direttamente nel server di un’applicazione web causando la trasmissione del codice malevolo al browser ogni volta che vengono richieste le informazioni.
SonarSource continua spiegando che “La vulnerabilità si attiva quando un utente mirato visualizza un documento OpenOffice allegato nel browser. Di conseguenza, l’attaccante può rubare tutte le email che la vittima ha inviato e ricevuto”. Ancora peggio, se un account amministratore con un’email dannosa viene compromesso, l’attaccante potrebbe sfruttare l’accesso privilegiato per impossessarsi dell’intero server webmail.
Appena scoperto, il problema è stato segnalato ai manutentori del progetto il 26 agosto 2021 ma, ad oggi, non sono ancora state inviate correzioni nonostante il bug sia stato effettivamente confermato.
Nel frattempo, si consiglia agli utenti di Horde Webmail di disabilitare il rendering degli allegati di OpenOffice modificando il file config/mime_drivers.php aggiungendo l’opzione ‘disable’ => true configuration al gestore mime di OpenOffice.