Na mmepe na nso nso a, US Cybersecurity and Infrastructure Agency (CISA) achọpụtala adịghị ike dị na ngwanrọ email Roundcube, akpọrọ CVE-2023-43770. A na-erigbu adịghị ike a, nke ewepụtara dị ka ntụpọ scripting cross-site (XSS) nwere akara CVSS nke 6.1, na-arụsi ọrụ ike n'ime ọhịa. Edemede a ga-enyocha nkọwa nke CVE-2023-43770, ihe ga-esi na ya pụta, ụdị emetụtara, yana usoro mmezi nke ndị ọchịchị cybersecurity tụrụ aro.
Nkọwa nke CVE-2023-43770
CVE-2023-43770 na-agba gburugburu na-adịghị mma nke linkrefs na ozi ederede doro anya n'ime Roundcube Webmail ikpo okwu. Nkwarụ a na-emepụta ụzọ nwere ike isi na-aga n'ihu na mwakpo scripting cross-site (XSS), na-ebute nnukwu ihe ize ndụ nke nkpughe ozi site na ntụnyere njikọ ọjọọ. Ọ bụ ezie na akọwapụtaghị nkọwa kpọmkwem nke nrigbu ahụ, ịdị njọ nke XSS adịghị ike na-emesi ike ngwa ngwa maka ime ihe ozugbo.
Ọdịmma ahụ na-emetụta ụdị Roundcube tupu 1.4.14, 1.5.x tupu 1.5.4, na 1.6.x tupu 1.6.3. Ndị na-elekọta Roundcube azaghachila ngwa ngwa site na iwepụta ụdị 1.6.3 na Septemba 15, 2023, nke na-ekwu okwu ma na-ebelata adịghị ike achọpụtara. Ebe kredit maka nchọpụta na ịkọ akụkọ nke CVE-2023-43770 na-aga na onye nyocha nchekwa Zscaler Niraj Shivtarar.
Nsonaazụ na ndị na-eme ihe egwu nwere ike ime
Ihe omume gara aga egosila na adịghị ike ndị ahịa email dabere na weebụ nwere ike ịghọ ngwa ọgụ maka ndị na-eme ihe egwu. Otu ndị ama ama, dị ka APT28 na Winter Vivern, ejirila ụdị adịghị ike ahụ eme ihe n'oge gara aga. Nsonaazụ enwere ike na nrigbu CVE-2023-43770 gụnyere ohere na-enwetaghị ikike, izu ohi data, yana ike imebi ozi nwere mmetụta. Enweghị ike ikwupụta ngwa ngwa maka ndị ọrụ na ndị otu iji mejuputa usoro nchekwa.
Nzaghachi na Mbelata
Na nzaghachi maka ihe iyi egwu ahụ achọpụtara, ụlọ ọrụ US Federal Civil Executive Branch (FCEB) enyela ntuziaka maka mmejuputa mmezi nke ndị na-ere ahịa nyere site na Machị 4, 2024. Ntuziaka a na-achọ ịkwalite nchekwa netwọkụ yana ichebe pụọ na ihe iyi egwu cyber sitere na. adịghị ike CVE-2023-43770.
Omume kacha mma maka mgbochi
Mgbochi ọrịa n'ọdịnihu chọrọ ụzọ mgbake maka nchekwa cyber. Tụlee omume kachasị mma ndị a:
- Debe ngwanrọ emelitere: Na-emelite Roundcube na sọftụwia ndị ọzọ mgbe niile ka ọ bụrụ ụdị kachasị ọhụrụ iji kwado adịghị ike ma kwalite nchekwa.
- Mejuputa ihe nledo nchekwa: Tinye patches na mmelite ndị na-ere sọftụwia wetara ozugbo iji lebara adịghị ike achọpụtara anya.
- Ọzụzụ Mmata nke onye ọrụ: Zụlite ndị ọrụ ka ha mata ma kọọ akụkọ ozi-e ma ọ bụ mmemme enyo enyo iji belata ihe ize ndụ nke ịdaba na nrigbu.
- Nkewa netwọk: Mejuputa nkewa netwọk iji kpachie mmetụta nwere ike ị nweta mwakpo na-aga nke ọma ma nwee mgbasa nke egwu.
mmechi
Mgbugbu nke CVE-2023-43770 na ngwanrọ email Roundcube na-akọwapụta ọnọdụ iyi egwu na-agbanwe agbanwe yana mkpa maka usoro nchekwa cyber siri ike. Ndị ọrụ na ndị otu ga-emerịrị ngwa ngwa iji tinye patches nchekwa dị mkpa, melite ngwanrọ na ịkwalite mmata n'etiti ndị ọrụ iji belata ihe egwu nke ịdaba na adịghị ike dị otú ahụ. Mgbalị imekọ ihe ọnụ nke ndị nyocha nchekwa, ndị na-ere sọftụwia, na ndị ọrụ nchekwa cyber na-arụ ọrụ dị oke mkpa n'ichekwa gburugburu dijitalụ megide ịpụta. iyi egwu cyber.