Een niet-gepatchte, zeer ernstige beveiligingsfout is onthuld in de open-source RainLoop webgebaseerde e-mailclient die kan worden gebruikt om e-mails uit de inbox van slachtoffers te hevelen.
“De codekwetsbaarheid […] kan gemakkelijk worden misbruikt door een aanvaller door een kwaadwillende e-mail te sturen naar een slachtoffer dat RainLoop als e-mailclient gebruikt,” SonarSource-beveiligingsonderzoeker Simon Scannell zei in een rapport dat deze week is gepubliceerd.
“Wanneer de e-mail door het slachtoffer wordt bekeken, krijgt de aanvaller de volledige controle over de sessie van het slachtoffer en kan hij al hun e-mails stelen, inclusief e-mails die zeer gevoelige informatie bevatten zoals wachtwoorden, documenten en wachtwoordherstellinks.”
Bijgehouden als CVE-2022-29360, heeft de fout betrekking op een opgeslagen cross-site-scripting (XSS)-kwetsbaarheid die van invloed is op de nieuwste versie van RainLoop (v1.16.0) die werd uitgebracht op 7 mei 2021.
Opgeslagen XSS-fouten, ook wel persistent XSS genoemd, treden op wanneer een kwaadaardig script rechtstreeks in de server van een doelwebtoepassing wordt geïnjecteerd door middel van gebruikersinvoer (bijv. commentaarveld) dat permanent wordt opgeslagen in een database en later aan andere gebruikers wordt aangeboden.
Met een impact op alle RainLoop-installaties die draaien onder standaardconfiguraties, kunnen aanvalsketens die gebruikmaken van de fout de vorm aannemen van een speciaal vervaardigde e-mail die naar potentiële slachtoffers wordt gestuurd en die, wanneer ze worden bekeken, een kwaadaardige JavaScript-payload in de browser uitvoert zonder dat gebruikersinteractie nodig is.
SonarSource zei in zijn tijdlijn voor openbaarmaking dat het de beheerders van RainLoop op 30 november 2021 op de hoogte had gesteld van de bug en dat de softwaremaker er al meer dan vier maanden niet in was geslaagd een oplossing uit te brengen.
Een kwestie die op 6 december 2021 door het Zwitserse codekwaliteits- en beveiligingsbedrijf op GitHub is geplaatst, blijft tot op heden open. We hebben contact opgenomen met RainLoop voor commentaar en we zullen het verhaal bijwerken als we iets horen.
Bij gebrek aan patches raadt SonarSource gebruikers aan om te migreren naar een RainLoop-fork genaamd SnappyMaildie actief wordt onderhouden en niet wordt beïnvloed door het beveiligingsprobleem.
