潜伏十年！Roundcube Webmail高危漏洞让黑客随意操控你的邮箱

原创 道玄安全 道玄网安驿站 2025-06-03 23:00

“
 webmail漏洞。”

PS：有内网web自动化需求可以私信

01

—

导语

2024年10月，网络安全研究人员曝光了一个潜伏长达十年的Roundcube Webmail安全漏洞。这个被标识为 
CVE-2024-37383
 的严重安全缺陷，影响了全球数以万计的电子邮件系统。

这一高危漏洞存在于Roundcube的SVG动画属性处理功能中，
允许攻击者通过特制电子邮件在用户浏览器中执行恶意JavaScript代码
。

更令人担忧的是，Positive Technologies公司的研究人员发现，未知威胁行动者已经利用该漏洞向独联体国家的政府机构发送恶意邮件，试图窃取敏感凭据。

01 漏洞的十年潜伏

这个安全漏洞在Roundcube Webmail中
隐藏了整整十年
，直到2024年才被安全团队发现并修复。漏洞影响1.5.7和1.6.7之前的所有Roundcube版本。

漏洞根源
在于Roundcube未能正确处理SVG文件中的动画属性。攻击者可以创建包含恶意SVG元素的HTML电子邮件，当用户查看这种特制邮件时，注入的JavaScript代码就会自动执行。

俄罗斯网络安全公司Positive Technologies在分析报告中指出：“该邮件看似是一条没有文本的消息，里面仅包含一份附件文档。邮件主体包含具有eval (atob(…))语句的唯一标记，能够解码和执行JavaScript代码。”

02 漏洞如何被利用

Roundcube Webmail中的这个漏洞利用了
SVG文件格式的复杂性
。攻击者通过精心构造的SVG元素，绕过Roundcube的安全过滤机制。

攻击流程分为三步
：

攻击者首先向目标用户发送包含恶意SVG的电子邮件。当受害者在Roundcube中查看这封邮件时，
嵌入的恶意脚本自动执行
。

脚本在受害者浏览器环境中运行，可以
窃取会话Cookie、电子邮件内容，甚至显示伪造的登录表单
诱骗用户输入凭据。

Positive Technologies观察到实际攻击中，JavaScript有效载荷会保存一个空白的Word文档附件，然后显示伪造的登录表单，最终将被盗凭证发送到攻击者控制的服务器。

03 实际攻击与危害

这一漏洞已被黑客组织用于针对政府机构的攻击活动。Positive Technologies发现，在2024年6月，已经有攻击者利用此漏洞向特定政府目标发送恶意邮件。

成功利用该漏洞可能导致
：

会话劫持和账户接管
：攻击者窃取会话信息后可完全控制受害者的邮箱。

敏感数据泄露
：黑客能够访问用户的所有电子邮件和联系人信息。

凭证窃取
：通过伪造登录表单，攻击者可捕获受害者的邮箱密码。

恶意软件传播
：攻击者可以利用被入侵的账户向同一Roundcube实例中的其他用户传播恶意脚本。

网络安全研究人员强调：“攻击者可以在受害者的浏览器重新启动后获得持久的立足点，从而使他们能够持续窃取电子邮件或在受害者下次输入密码时窃取密码。”

04 Roundcube的安全困境

Roundcube作为广泛使用的开源Webmail解决方案，近年来
频繁成为高级黑客组织的攻击目标
。除CVE-2024-37383外，2024年还披露了多个高危漏洞。

2024年8月
，研究人员又发现了三个新的高危漏洞（CVE-2024-42008、CVE-2024-42009、CVE-2024-42010）。这些漏洞允许攻击者
窃取电子邮件、联系人和密码
，已在1.6.8和1.5.8版本中修复。

2024年6月
，另一个
远程代码执行漏洞被曝光
（CVE-2024-2961），攻击者可通过PHP过滤器结合iconv()函数修改Roundcube核心内存分布，实现任意代码执行。

安全专家指出：“虽然Roundcube网络邮箱可能并不是使用最广泛的邮件客户端，但因得到政府机构的广泛应用，因此仍然是黑客目标。针对该软件的攻击可造成重大损失，导致网络犯罪分子窃取敏感信息。”

05 解决方案与防护措施

针对CVE-2024-37383漏洞，
Roundcube官方已在2024年5月发布的1.5.7和1.6.7版本中修复了该问题
。

防护建议
：

立即升级
到最新版本（1.6.8或1.5.8 LTS），这些版本修复了近期发现的所有高危漏洞。

限制与未经验证来源邮件的交互
，特别是包含HTML内容或SVG附件的邮件。

实施严格的输入过滤
，特别是对电子邮件中的SVG内容进行额外审查。

定期审计
系统日志，监控是否有异常活动或未知脚本执行迹象。

网络安全和基础设施安全局（CISA）建议，
如果无法立即更新，应考虑暂时禁用受影响产品
，以避免遭受攻击。

06 十年漏洞的警示

这个潜伏十年的漏洞揭示了
开源软件供应链安全的深层次问题
。作为广泛部署的基础设施组件，Roundcube的安全漏洞影响深远。

漏洞长期存在的原因
包括：

代码复杂性增加
：现代Webmail系统处理多种文件格式和协议，增加了攻击面。

安全审计不足
：开源项目常面临资源限制，难以进行彻底的代码审查。

攻击技术演进
：黑客不断开发新的漏洞利用方法，防御措施往往滞后。

企业安全团队应转变观念
，不再依赖被动修补，而是主动监测威胁并实施纵深防御策略。对于关键基础设施组件，应
定期进行专业安全审计
。

全球网络空间测绘数据显示，仅中国就有近6000台服务器运行受影响版本的Roundcube。这些系统如同敞开的门户，任由黑客窃取敏感通信。

电子邮件系统在现代组织中占据核心地位，其安全性不容忽视。那些尚未更新系统的管理员正在与时间赛跑——
黑客不会等待，漏洞就是他们的机会之窗
。

安全专家强调：当软件漏洞能够潜伏十年之久，这不仅是技术问题，更是整个安全生态的警示。我们需要的不仅是更快的补丁，而是从根本上重新思考如何构建和监控数字基础设施的信任链。 

免责声明：

本人所有文章均为技术分享，均用于防御为目的的记录，所有操作均在实验环境下进行，请勿用于其他用途，否则后果自负。

第二十七条：任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序和工具；明知他人从事危害网络安全的活动，不得为其提供技术支持、广告推广、支付结算等帮助

第十二条：  国家保护公民、法人和其他组织依法使用网络的权利，促进网络接入普及，提升网络服务水平，为社会提供安全、便利的网络服务，保障网络信息依法有序自由流动。

任何个人和组织使用网络应当遵守宪法法律，遵守公共秩序，尊重社会公德，不得危害网络安全，不得利用网络从事危害国家安全、荣誉和利益，煽动颠覆国家政权、推翻社会主义制度，煽动分裂国家、破坏国家统一，宣扬恐怖主义、极端主义，宣扬民族仇恨、民族歧视，传播暴力、淫秽色情信息，编造、传播虚假信息扰乱经济秩序和社会秩序，以及侵害他人名誉、隐私、知识产权和其他合法权益等活动。

第十三条：  国家支持研究开发有利于未成年人健康成长的网络产品和服务，依法惩治利用网络从事危害未成年人身心健康的活动，为未成年人提供安全、健康的网络环境。