Хакеры могут использовать уязвимость в Roundcube, просто отправив email
Главная » Новости

Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Олег Иванов 08 Декабря 2016 - 10:29
...
Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо.

Недостаток был обнаружен фирмой RIPS Technologies и связан с функцией PHP mail(), которая используется для отправки электронной почты. При вызове этой функции PHP выполняет программу командной строки sendmail.

Проблема заключается в том, что пользовательский ввод не обрабатывается должным образом в пятом параметре функции mail(). Это позволяет злоумышленнику передавать произвольные аргументы. Об этой уязвимости было известно уже более двух лет, однако разработчики Roundcube упустили ее из вида.

По словам RIPS, злоумышленник может создать вредоносный PHP-файл в корневом каталоге веб-системы, выполнив Sendmail с опцией -X, которая используется для логирования всего почтового трафик в специальном файле. Такой PHP-файл может позволить хакеру выполнять команды и проводить различные махинации, например, чтение электронной почты или получение доступа к другим системам в сети.

RIPS объясняют, что брешь может быть использована злоумышленником, который имеет доступ к целевой системе и может посылать электронную почту со скомпрометированной машины. После получения доступа, злоумышленник может использовать брешь, введя специальный код в поле «От».

Есть несколько условий, которые должны быть соблюдены для того, чтобы уязвимость сработала. Во-первых, Roundcube должен быть настроен на использование функции mail(), во-вторых, функция mail() должна быть настроена на использование sendmail. Кроме того, в PHP должен быть отключен safe_mode и злоумышленник должен знать абсолютный путь к корневой папке.

Тем не менее, такие конфигурации по умолчанию далеко не редкость и эксперты считают, что существуют десятки или сотни тысяч уязвимых систем. Roundcube был загружен с сайта SourceForge более чем 260000 раз только в 2016 году.

С выпуском версий Roundcube 1.2.3 и 1.1.7 проблема была решена.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Осторожно, фейк: в Telegram распространяют ложь о «выплатах 9 Мая»
Екатерина Быстрова 07 Мая 2025 - 09:16
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Осторожно, фейк: в Telegram распространяют ложь о «выплатах 9 Мая»

В преддверии Дня Победы в Telegram начали распространяться фейковые новости о «новых социальных выплатах» для россиян. В сообщениях утверждается, что якобы принято решение о дополнительных мерах поддержки — дескать, каждому гражданину РФ полагается выплата от 38 925 рублей.

При этом, как пояснили специалисты компании F6, нигде не говорится о критериях нуждаемости, а выплаты «приурочены к 80-летию Победы».

Чтобы сделать фейк более убедительным, авторы таких постов советуют обратиться в «местное отделение соцзащиты» или пройти по ссылке и «ознакомиться с инструкцией».

Ссылка ведёт на телеграм-бота, где пользователю обещают 50 000 рублей. Но вместо этого его перенаправляют в другой канал — якобы инвестиционный, где предлагают вложить деньги и обещают огромную прибыль. При этом прямо в сообщениях указываются банковские карты, на которые нужно отправить «инвестиции».

По наблюдениям экспертов, такие каналы работают уже давно: большую часть времени они публикуют достоверные и безобидные новости о социальной поддержке, а затем — в канун крупных праздников вроде Нового года или 9 Мая — вбрасывают фейковые сообщения о выплатах.

 

В декабре 2024 года уже была подобная волна перед праздниками. Аудитория у таких каналов может достигать сотен тысяч подписчиков. Ни один из них не зарегистрирован в Роскомнадзоре как официальное СМИ.

Сценарий мошенничества с «выплатами» — один из самых популярных. Часто используется в преддверии праздников: 9 Мая, Нового года, 23 Февраля, 8 Марта, 1 сентября. Цель — привлечь внимание, заполучить данные пользователя и выманить у него деньги.

Как защитить себя:

  • Проверяйте информацию только через официальные источники — например, «Госуслуги» или МФЦ.
  • Не подписывайтесь на сомнительные телеграм-каналы — даже пассивная подписка даёт злоумышленникам информацию о вас.
  • Не переходите по ссылкам из подозрительных сообщений, особенно в мессенджерах и соцсетях.
  • Никому не передавайте свои персональные и банковские данные, пароли и коды из СМС.
  • Не переводите деньги незнакомым людям.
  • Прежде чем куда-то вкладывать средства, ищите отзывы — если это мошенничество, скорее всего, кто-то уже об этом написал.
  • Если сомневаетесь, проконсультируйтесь с человеком, которому доверяете.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
КИС СОЮ стала причиной обысков в КРОК и Ланит
Новость
КИС СОЮ стала причиной обысков в КРОК и Ланит
Sapphire Werewolf маскируются под рекрутеров: новая атака на энергосектор
Новость
Sapphire Werewolf маскируются под рекрутеров: новая атака на...
УБК МВД задержало троих подозреваемых в разработке зловреда Мамонт
Новость
УБК МВД задержало троих подозреваемых в разработке зловреда...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.