In dem webbasierten Open-Source-E-Mail-Client RainLoop wurde eine ungepatchte, hochgradig gefährliche Sicherheitslücke entdeckt, die dazu genutzt werden könnte, E-Mails aus den Postfächern der Opfer abzuschöpfen.
„Die Code-Schwachstelle […] kann von einem Angreifer leicht ausgenutzt werden, indem er eine bösartige E-Mail an ein Opfer sendet, das RainLoop als E-Mail-Client verwendet“, so der SonarSource-Sicherheitsforscher Simon Scannell in einem diese Woche veröffentlichten Bericht.
„Wenn das Opfer die E-Mail anschaut, erlangt der Angreifer die volle Kontrolle über die Sitzung des Opfers und kann alle seine E-Mails stehlen, auch solche, die hochsensible Informationen wie Passwörter, Dokumente und Links zum Zurücksetzen des Passworts enthalten.
Die Schwachstelle mit der Bezeichnung CVE-2022-29360 bezieht sich auf eine gespeicherte Cross-Site-Scripting (XSS)-Schwachstelle, die die neueste Version von RainLoop (v1.16.0) betrifft, die am 7. Mai 2021 veröffentlicht wurde.
Gespeicherte XSS-Schwachstellen, die auch als persistente XSS bezeichnet werden, treten auf, wenn ein bösartiges Skript über Benutzereingaben (z. B. ein Kommentarfeld) direkt in den Server einer Ziel-Webanwendung injiziert wird, die dauerhaft in einer Datenbank gespeichert und später anderen Benutzern zur Verfügung gestellt wird.
Die Angriffsketten, die diese Schwachstelle ausnutzen, können die Form einer speziell gestalteten E-Mail annehmen, die an potenzielle Opfer gesendet wird und bei deren Aufruf ein bösartiges JavaScript im Browser ausgeführt wird, ohne dass eine Benutzerinteraktion erforderlich ist.
SonarSource teilte in seinem Veröffentlichungszeitplan mit, dass es die Entwickler von RainLoop am 30. November 2021 über den Fehler informiert hat und dass der Softwarehersteller seit mehr als vier Monaten keinen Fix veröffentlicht hat.
Ein Problem, das das Schweizer Unternehmen für Codequalität und Sicherheit am 6. Dezember 2021 auf GitHub gemeldet hat, ist bis heute offen. Wir haben RainLoop um eine Stellungnahme gebeten und werden den Artikel aktualisieren, sobald wir eine Antwort erhalten.
In Ermangelung von Patches empfiehlt SonarSource seinen Nutzern, auf einen RainLoop-Fork namens SnappyMail umzusteigen, der aktiv gewartet wird und nicht von der Sicherheitslücke betroffen ist.