APT28 Khai Thác Lỗ Hổng XSS Trên Các Nền Tảng Webmail Phổ Biến

22/06/2025
4 mins read

Một sự gia tăng đáng kể các cuộc tấn công kịch bản chéo trang (XSS) đã được ghi nhận, nhắm mục tiêu vào các nền tảng webmail phổ biến như Roundcube, Horde, MDaemonZimbra. Các cuộc tấn công này được các nhóm tác nhân đe dọa có tổ chức (APT) như APT28 tận dụng để thu thập dữ liệu mật từ các tài khoản email mục tiêu thuộc về các thực thể chính phủ và các công ty quốc phòng, chủ yếu ở Đông Âu.

Nội dung
Các Nền tảng Bị Khai thác
Các Lỗ hổng CVE đã được Đề cập
CVE-2025-49113
CVE-2024-37383
CVE-2024-42009
Thông tin Chi tiết Kỹ thuật từ Phân tích CVE-2025-49113
Các Tác nhân Đe dọa
Chiến thuật, Kỹ thuật và Quy trình (TTPs)
Kịch bản Chéo trang (XSS)
Luồng Tấn công
Các Lỗ hổng Liên quan Được Đề cập Khác
Khuyến nghị Giảm thiểu

Các Nền tảng Bị Khai thác

Các nền tảng webmail sau đây đã bị khai thác thông qua các lỗ hổng XSS để chiếm đoạt phiên người dùng và trích xuất thông tin nhạy cảm:

  • Roundcube Webmail
  • Horde
  • MDaemon
  • Zimbra

Các Lỗ hổng CVE đã được Đề cập

Chiến dịch tấn công này đã khai thác một số lỗ hổng đã biết:

CVE-2025-49113

  • Mô tả: Đây là một lỗ hổng thực thi mã từ xa (RCE) sau khi xác thực, thông qua khử đối tượng PHP (PHP object deserialization). Nguyên nhân là do việc xác thực tham số _from trong tệp program/actions/settings/upload.php không được thực hiện đúng cách.
  • Tác động: Lỗ hổng này cho phép người dùng đã xác thực thực thi mã tùy ý từ xa trên các phiên bản Roundcube Webmail trước 1.5.10 và các phiên bản 1.6.x trước 1.6.11.
  • Điểm CVSS: 9.9/10 (Mức độ nghiêm trọng: Critical – Nghiêm trọng).
  • Biện pháp giảm thiểu: Nâng cấp Roundcube Webmail lên phiên bản 1.6.11 hoặc mới hơn, hoặc áp dụng bản vá cho phiên bản 1.5.10 LTS.

CVE-2024-37383

Đây là lỗ hổng đã từng bị khai thác trong các cuộc tấn công lừa đảo (phishing) nhắm mục tiêu vào người dùng Roundcube để đánh cắp thông tin xác thực.

CVE-2024-42009

Một lỗ hổng kịch bản chéo trang (XSS) khác ảnh hưởng đến Roundcube Webmail đã được CISA ghi nhận là một lỗ hổng đã bị khai thác trong thực tế (Known Exploited Vulnerability).

Thông tin Chi tiết Kỹ thuật từ Phân tích CVE-2025-49113

Để làm rõ hơn về lỗ hổng CVE-2025-49113, các chi tiết kỹ thuật được ghi nhận như sau:

Vulnerability Location:
program/actions/settings/upload.php

Vulnerable Parameter:
_from

Attack Vector:
PHP Object Deserialization leading to Remote Code Execution post authentication

Affected Versions:
Roundcube < v1.5.10 
Roundcube < v1.6.x prior to v1 .6 .11 

Patch Availability:
v1 .5 .10 LTS 
v1 .6 .11 

Discovery Credit:
Kirill Firsov / FearsOff

Các Tác nhân Đe dọa

APT28, một nhóm tác nhân đe dọa dai dẳng nâng cao (Advanced Persistent Threat group) được biết đến với các hoạt động gián điệp mạng, đã được xác định là đang tận dụng các lỗ hổng XSS này trên nhiều máy chủ webmail khác nhau. Mục tiêu chính của APT28 là các cơ quan chính phủ và các tổ chức quốc phòng, đặc biệt ở khu vực Đông Âu, nhằm mục đích gián điệp.

Chiến thuật, Kỹ thuật và Quy trình (TTPs)

Phương pháp tấn công được quan sát trong các chiến dịch này bao gồm các bước sau:

Kịch bản Chéo trang (XSS)

XSS là một loại lỗ hổng bảo mật web cho phép kẻ tấn công tiêm mã kịch bản độc hại (thường là JavaScript) vào các trang web hợp pháp và đáng tin cậy. Kẻ tấn công lợi dụng sự không khớp về bảo mật khi việc kiểm tra đầu vào (input validation) không đủ nghiêm ngặt. Khi mã độc được tiêm vào, các kịch bản độc hại này sẽ chạy trong trình duyệt của nạn nhân dưới vỏ bọc của các trang web đáng tin cậy. Điều này xảy ra do trình duyệt tin tưởng miền lưu trữ nhưng không thể phát hiện các kịch bản được tiêm vào bên trong nó.

Luồng Tấn công

Các cuộc tấn công này thường tuân theo một luồng cụ thể:

  1. Xác định dịch vụ: Kẻ tấn công xác định các dịch vụ webmail dễ bị tổn thương không xử lý đúng cách các dữ liệu đầu vào, cho phép tiêm kịch bản.
  2. Tiêm payload: Các payload độc hại được tiêm vào giao diện hoặc URL của các dịch vụ này.
  3. Cơ chế phân phối: Các kỹ thuật tấn công xã hội (social engineering) được sử dụng để phân phối các liên kết bị xâm phạm thông qua email hoặc tin nhắn trên mạng xã hội, nhắm mục tiêu vào các nạn nhân cụ thể.
  4. Khai thác: Việc khai thác thành công dẫn đến nhiều hậu quả, bao gồm chiếm quyền điều khiển phiên (session hijacking), đánh cắp thông tin xác thực, phá hoại trang web (website defacement), tiêm phần mềm độc hại (malware injection) hoặc thực hiện các chiến dịch lừa đảo.

Các Lỗ hổng Liên quan Được Đề cập Khác

Trong bối cảnh rộng hơn về các vector tấn công tương tự, một số lỗ hổng khác cũng được đề cập, mặc dù không trực tiếp liên quan đến chiến dịch tấn công webmail cụ thể này nhưng vẫn cung cấp cái nhìn về các mối đe dọa liên quan:

  • CVE-2025-4123: Liên quan đến Grafana, mô tả lỗ hổng chuyển hướng mở (open redirect) kết hợp với yêu cầu giả mạo phía máy chủ (SSRF), với mức độ nghiêm trọng được đánh giá là High (7.6).

Khuyến nghị Giảm thiểu

Để bảo vệ các hệ thống webmail khỏi các cuộc tấn công XSS và các lỗ hổng tương tự, các biện pháp giảm thiểu sau đây được khuyến nghị:

  • Cập nhật và vá lỗi ngay lập tức: Thực hiện việc vá lỗi/nâng cấp phần mềm bị ảnh hưởng theo khuyến nghị của nhà cung cấp, đặc biệt là nâng cấp các cài đặt Roundcube lên các phiên bản đã vá lỗi (ví dụ: Roundcube 1.6.11 hoặc 1.5.10 LTS).
  • Xác thực và lọc đầu vào mạnh mẽ: Triển khai các kiểm soát xác thực và lọc đầu vào mạnh mẽ trên tất cả các trường dữ liệu do người dùng cung cấp. Điều này giúp ngăn chặn việc tiêm mã độc vào ứng dụng.
  • Giám sát nhật ký và lưu lượng mạng: Theo dõi chặt chẽ các nhật ký hệ thống và lưu lượng truy cập web để phát hiện các tham số URL đáng ngờ hoặc các hành vi bất thường, đặc biệt là những hành vi giống với thao tác tham số _from.