Ma kahi hoʻomohala hou, ua ʻike ka US Cybersecurity and Infrastructure Security Agency (CISA) i kahi koʻikoʻi koʻikoʻi i ka polokalamu leka uila Roundcube, i koho ʻia ʻo CVE-2023-43770. ʻO kēia nāwaliwali, i hoʻokaʻawale ʻia ma ke ʻano he cross-site scripting (XSS) flaw me ka helu CVSS o 6.1, ua hoʻohana ikaika ʻia i ka nahele. E ʻimi kēia ʻatikala i nā kikoʻī o CVE-2023-43770, kona hopena kūpono, nā mana i hoʻopili ʻia, a me nā hana hoʻoponopono i ʻōlelo ʻia e nā luna cybersecurity.
Nā kikoʻī o CVE-2023-43770
ʻO CVE-2023-43770 nā kikowaena a puni ka lawelawe hewa ʻana o nā linkrefs ma nā leka kikokikona maʻamau i loko o ka kahua leka uila Roundcube. Hoʻokumu kēia hemahema i kahi ala kūpono no ka hoʻouka ʻana i ka palapala hōʻailona cross-site (XSS), e hōʻike ana i kahi pilikia nui o ka hōʻike ʻana i ka ʻike ma o nā loulou pili ʻino. ʻOiai ʻaʻole i hōʻike ʻia nā kikoʻī kikoʻī o ka hoʻohana ʻana, ʻo ke koʻikoʻi o nā nāwaliwali o XSS e hōʻike ana i ka wikiwiki no ka hana koke.
Hoʻopilikia ka vulnerability i nā mana Roundcube ma mua o 1.4.14, 1.5.x ma mua o 1.5.4, a me 1.6.x ma mua o 1.6.3. Ua pane koke ka poʻe mālama Roundcube ma ka hoʻokuʻu ʻana i ka mana 1.6.3 ma Kepakemapa 15, 2023, e kamaʻilio a hoʻēmi i ka nāwaliwali i ʻike ʻia. Loaʻa ka hōʻaiʻē no ka ʻike a me ka hōʻike ʻana o CVE-2023-43770 i ka mea noiʻi palekana Zscaler Niraj Shivtarkar.
Nā hopena a me nā mea hoʻoweliweli kūpono
Ua hōʻike ʻia nā mea i hala i hala e hiki ke lilo i mea hoʻoweliweli i ka mea kūʻai aku leka uila i mea kaua i koho ʻia no nā mea hoʻoweliweli. ʻO nā hui kaulana, e like me APT28 a me Winter Vivern, ua hoʻohana i nā mea like ʻole i ka wā ma mua. ʻO nā hopena kūpono o ka hoʻohana ʻana i ka CVE-2023-43770 e komo pū me ka ʻae ʻole, ʻaihue ʻikepili, a me ka hoʻololi ʻana i ka ʻike koʻikoʻi. ʻAʻole hiki ke hoʻonui i ka wikiwiki o nā mea hoʻohana a me nā hui e hoʻokō i nā hana palekana.
Pane a me ka hoemi ana
I ka pane ʻana i ka hoʻoweliweli i ʻike ʻia, ua hoʻopuka nā keʻena o ka US Federal Civilian Executive Branch (FCEB) i kahi kuhikuhi no ka hoʻokō ʻana i nā hoʻoponopono i hāʻawi ʻia e ka mea kūʻai aku ma ka lā Malaki 4, 2024. Ke manaʻo nei kēia kuhikuhi e hoʻoikaika i ka palekana o ka pūnaewele a pale aku i nā hoʻoweliweli cyber e hiki mai ana mai. ka CVE-2023-43770 nāwaliwali.
Nā hana maikaʻi loa no ka pale ʻana
ʻO ka pale ʻana i nā maʻi i ka wā e hiki mai ana e koi i kahi ala kūpono i ka cybersecurity. E noʻonoʻo i nā hana maikaʻi loa:
- E hoʻomau hou i ka polokalamu: Hoʻololi mau i ka Roundcube a me nā polokalamu ʻē aʻe i nā mana hou loa e hoʻopaʻa i nā nāwaliwali a hoʻonui i ka palekana.
- E hoʻokō i nā pale palekana: E hoʻopili koke i nā patch a me nā mea hou i hāʻawi ʻia e nā mea kūʻai lako polokalamu e hoʻoponopono i nā nāwaliwali i ʻike ʻia.
- Hoʻomaʻamaʻa ʻike mea hoʻohana: E hoʻomaʻamaʻa i nā mea hoʻohana e ʻike a hōʻike i nā leka uila a i ʻole nā hana kānalua e hōʻemi i ka pilikia o ka hāʻule ʻana i ka hoʻohana.
- Māhele Pūnaewele: E hoʻokō i ka ʻāpana pūnaewele e kaupalena i ka hopena o nā hoʻouka kūleʻa a loaʻa i ka laha o nā mea hoʻoweliweli.
Panina
ʻO ka hoʻohana ʻana i ka CVE-2023-43770 ma Roundcube leka uila e hōʻike ana i ka ulu ʻana o ka hoʻoweliweli a me ka pono o nā hana cybersecurity ikaika. Pono nā mea hoʻohana a me nā hui e hana wikiwiki e hoʻopili i nā pale palekana e pono ai, hoʻonui i ka polokalamu, a hoʻonui i ka ʻike ma waena o nā mea hoʻohana e hoʻēmi i ka pilikia o ka hāʻule ʻana i ia mau nāwaliwali. ʻO ka hana like ʻana o nā mea noiʻi palekana, nā mea kūʻai aku polokalamu, a me nā luna cybersecurity he kuleana koʻikoʻi i ka pale ʻana i nā kaiapuni kikohoʻe mai ka puka ʻana mai. hoʻoweliweli cyber.