Ann an leasachadh o chionn ghoirid, tha Buidheann Tèarainteachd Cybersecurity agus Bun-structair na SA (CISA) air so-leòntachd èiginneach a chomharrachadh ann am bathar-bog post-d Roundcube, ainmichte mar CVE-2023-43770. Thathas air a bhith gu gnìomhach a’ gabhail brath air an so-leòntachd seo, air a sheòrsachadh mar locht sgrìobhaidh thar-làraich (XSS) le sgòr CVSS de 6.1. Bidh an artaigil seo a’ sgrùdadh mion-fhiosrachadh CVE-2023-43770, na buaidhean a dh’ fhaodadh a bhith aige, dreachan air a bheil buaidh, agus na ceumannan slànachaidh a mhol ùghdarrasan cybersecurity.
Fiosrachadh mu CVE-2023-43770
Tha CVE-2023-43770 stèidhichte air mì-làimhseachadh ceanglaichean ceangail ann am teachdaireachdan teacsa sìmplidh taobh a-staigh an Àrd-ùrlar Webmail Roundcube. Tha an locht seo a’ cruthachadh slighe a dh’ fhaodadh a bhith ann airson ionnsaighean sgrìobadh thar-làraich leantainneach (XSS), a tha nan cunnart mòr gun tèid fiosrachadh fhoillseachadh tro iomraidhean ceangail droch-rùnach. Ged nach eil mion-fhiosrachadh sònraichte mun chleachdadh air fhoillseachadh, tha cho dona ‘s a tha so-leòntachd XSS a’ daingneachadh cho luath sa tha e airson gnìomh sa bhad.
Bidh an so-leòntachd a’ toirt buaidh air dreachan Roundcube ro 1.4.14, 1.5.x ro 1.5.4, agus 1.6.x ro 1.6.3. Tha luchd-gleidhidh Roundcube air freagairt gu sgiobalta le bhith a ’leigeil a-mach dreach 1.6.3 air 15 Sultain, 2023, a bhios a’ dèiligeadh agus a ’lasachadh an so-leòntachd a chaidh ainmeachadh. Tha creideas airson CVE-2023-43770 a lorg agus aithris a’ dol gu neach-rannsachaidh tèarainteachd Zscaler Niraj Shivtarkar.
Builean agus Cleasaichean Cunnart a dh'fhaodadh a bhith ann
Tha tachartasan san àm a dh’ fhalbh air sealltainn gum faod so-leòntachd teachdaichean post-d stèidhichte air an lìon a bhith na inneal roghainn airson cleasaichean bagairt. Tha buidhnean ainmeil, leithid APT28 agus Winter Vivern, air brath a ghabhail air so-leòntachd coltach ris san àm a dh’ fhalbh. Tha na buaidhean a dh’ fhaodadh a bhith aig brath CVE-2023-43770 a’ toirt a-steach ruigsinneachd gun chead, goid dàta, agus rèiteachadh fiosrachaidh mothachail. Chan urrainnear cus a dhèanamh den cho luath sa tha luchd-cleachdaidh agus buidhnean ceumannan tèarainteachd a chuir an gnìomh.
Freagairt agus Maothachadh
Mar fhreagairt don chunnart a chaidh a chomharrachadh, tha buidhnean Meur Riaghlaidh Sìobhalta Feadarail na SA (FCEB) air stiùireadh a chuir a-mach airson a bhith a’ buileachadh rèiteachaidhean air an toirt seachad le reiceadair ro 4 Màrt 2024. Tha an stiùireadh seo ag amas air tèarainteachd lìonra a neartachadh agus dìon an aghaidh bagairtean saidhbear a dh’ fhaodadh a thighinn bho an so-leòntachd CVE-2023-43770.
Cleachdaidhean as Fheàrr airson Casg
Gus casg a chuir air galairean san àm ri teachd feumaidh dòigh-obrach for-ghnìomhach a thaobh cybersecurity. Beachdaich air na cleachdaidhean as fheàrr a leanas:
- Cùm bathar-bog air ùrachadh: Ùraich gu cunbhalach Roundcube agus bathar-bog eile gu na dreachan as ùire gus so-leòntachd a ghlacadh agus tèarainteachd àrdachadh.
- Cuir an gnìomh badannan tèarainteachd: Cuir an sàs pìosan agus ùrachaidhean a bheir luchd-reic bathar-bog seachad gu sgiobalta gus dèiligeadh ri so-leòntachd a chaidh ainmeachadh.
- Trèanadh Mothachadh Luchd-cleachdaidh: Trèan luchd-cleachdaidh gus puist-d no gnìomhan amharasach aithneachadh agus aithris gus an cunnart bho bhith a’ fulang brath a lughdachadh.
- Sgaradh lìonra: Cuir an gnìomh sgaradh lìonra gus a’ bhuaidh a dh’ fhaodadh a bhith aig ionnsaighean soirbheachail a chuingealachadh agus casg a chuir air sgaoileadh bagairtean.
Co-dhùnadh
Tha cleachdadh CVE-2023-43770 ann am bathar-bog post-d Roundcube a’ soilleireachadh an cruth-tìre bagairt a tha a ’sìor fhàs agus an fheum air ceumannan làidir cybersecurity. Feumaidh luchd-cleachdaidh agus buidhnean a bhith ag obair gu sgiobalta gus na pìosan tèarainteachd riatanach a chuir an sàs, am bathar-bog ùrachadh, agus mothachadh a thogail am measg luchd-cleachdaidh gus an cunnart bho bhith a’ fulang le leithid de chugallachd a lughdachadh. Tha pàirt deatamach aig oidhirpean co-obrachail luchd-rannsachaidh tèarainteachd, luchd-reic bathar-bog, agus ùghdarrasan cybersecurity ann a bhith a’ dìon àrainneachdan didseatach bho bhith a’ tighinn am bàrr. bagairtean saidhbear.