Tao anatin'ny fivoarana vao haingana, ny US Cybersecurity and Infrastructure Security Agency (CISA) dia namaritra ny vulnerable lehibe amin'ny rindrambaiko mailaka Roundcube, voatondro ho CVE-2023-43770. Ity vulnerable ity, voasokajy ho lesoka cross-site scripting (XSS) miaraka amin'ny isa CVSS 6.1, dia nohararaotina tamin'ny fomba mavitrika tany anaty ala. Ity lahatsoratra ity dia handalina ny antsipirian'ny CVE-2023-43770, ny mety ho vokany, ny dikan-teny voakasik'izany, ary ny dingana fanarenana natolotry ny manampahefana cybersecurity.
Ireo singa mifandraika amin'ny CVE-2023-43770
Ny CVE-2023-43770 dia mivondrona manodidina ny fikarakarana tsy mety ny linkrefs amin'ny hafatra an-tsoratra tsotra ao anatin'ny Roundcube Webmail sehatra. Ity lesoka ity dia mamorona lalana mety ho an'ny fanafihana cross-site scripting (XSS) maharitra, izay miteraka risika lehibe amin'ny fampahafantarana vaovao amin'ny alàlan'ny fanondroana rohy manimba. Na dia tsy ambara aza ny antsipiriany manokana momba ny fitrandrahana, ny hamafin'ny vulnerabilities XSS dia manasongadina ny maha-maika ny hetsika haingana.
Ny vulnerability dia misy fiantraikany amin'ny dikan-teny Roundcube alohan'ny 1.4.14, 1.5.x alohan'ny 1.5.4, ary 1.6.x alohan'ny 1.6.3. Namaly haingana ny mpikarakara ny Roundcube tamin'ny famoahana ny kinova 1.6.3 tamin'ny 15 septambra 2023, izay miresaka sy manamaivana ny fahalemena fantatra. Ny crédit amin'ny fahitana sy ny tatitra momba ny CVE-2023-43770 dia an'i Niraj Shivtarkar, mpikaroka momba ny fiarovana Zscaler.
Vokany sy ireo mpilalao mety mandrahona
Ny zava-nitranga teo aloha dia naneho fa ny fahalemen'ny mpanjifa mailaka mifototra amin'ny tranonkala dia mety ho lasa fitaovam-piadiana ho an'ny mpisehatra fandrahonana. Vondrona malaza, toa an'i APT28 sy Winter Vivern, dia nanararaotra ny fahalemena mitovy amin'izany taloha. Ny voka-dratsin'ny fitrandrahana CVE-2023-43770 dia ahitana ny fidirana tsy nahazoana alalana, ny halatra angon-drakitra, ary ny mety hisian'ny marimaritra iraisana amin'ny fampahalalana saro-pady. Ny fahamehana ho an'ny mpampiasa sy ny fikambanana amin'ny fampiharana ny fepetra fiarovana dia tsy azo ovaina.
Famaliana sy fanalefahana
Ho setrin'ny fandrahonana fantatra, ny masoivohon'ny Federal Civilian Executive Branch (FCEB) dia namoaka toromarika momba ny fampiharana ny fanamboarana nomen'ny mpivarotra hatramin'ny 4 martsa 2024. ny vulnerability CVE-2023-43770.
Fomba fanao tsara indrindra amin'ny fisorohana
Ny fisorohana ny otrikaretina ho avy dia mitaky fomba fiasa mavitrika amin'ny fiarovana an-tserasera. Diniho ireto fomba fanao tsara indrindra manaraka ireto:
- Havaozina ny rindrambaiko: Havaozy tsy tapaka ny Roundcube sy ny rindrambaiko hafa amin'ny dikan-teny farany mba hamehezana ny fahalemena sy hanatsara ny fiarovana.
- Ampiharo Patch fiarovana: Ampiharo haingana ny patch sy ny fanavaozana nomen'ny mpivarotra rindrambaiko mba hamahana ireo fahalemena fantatra.
- Fampiofanana ho an'ny mpampiasa: Ampiofanina ireo mpampiasa hamantatra sy hitatitra mailaka na hetsika mampiahiahy mba hanamaivanana ny mety ho tratran'ny fanararaotana.
- Fizarana tambajotra: Ampiharo ny fizarana tambajotra mba hamerana ny mety ho fiantraikan'ny fanafihana mahomby ary ahitana ny fiparitahan'ny fandrahonana.
Famaranana
Ny fitrandrahana ny CVE-2023-43770 amin'ny rindrambaiko mailaka Roundcube dia manasongadina ny tontolon'ny fandrahonana mivoatra sy ny filàna fepetra fiarovana amin'ny cyber. Ny mpampiasa sy ny fikambanana dia tsy maintsy mihetsika haingana amin'ny fampiharana ireo paty fiarovana ilaina, manavao ny rindrambaiko, ary manaitra ny sain'ny mpampiasa mba hanalefahana ny loza mety hitranga amin'ny vulnerable toy izany. Ny ezaka fiaraha-miasan'ny mpikaroka momba ny fiarovana, ny mpivarotra rindrambaiko, ary ny manampahefana momba ny fiarovana an-tserasera dia manana anjara toerana lehibe amin'ny fiarovana ny tontolo nomerika amin'ny firongatry ny fivoarana. fandrahonana amin'ny cyber.