Horumar dhowaan la sameeyay, Hay'adda Nabadgelyada Internetka iyo Kaabayaasha Dhaqaalaha ee Mareykanka (CISA) waxay aqoonsatay nuglaanta muhiimka ah ee software-ka iimaylka Roundcube, oo loo qoondeeyay sida CVE-2023-43770. Nuglaanta, oo loo kala saaray sida cilad-qorista-goob-gudbinta (XSS) oo leh buundada CVSS ee 6.1, ayaa si firfircoon looga faa'iidaystay duurjoogta. Maqaalkani waxa uu daah-furi doonaa tafaasiisha CVE-2023-43770, cawaaqibka ka dhalan kara, noocyada ay saamaysay, iyo tillaabooyinka dib-u-habaynta ee ay ku taliyeen masuuliyiinta amniga internetka.
Faahfaahinta CVE-2023-43770
CVE-2023-43770 xarumaha ku hareeraysan si xun u maamulida linkrefs ee fariimaha qoraalka ah ee cad gudaha Roundcube Webmail madal. Ciladdani waxay abuurtaa dariiqo suurtagal ah oo loogu talagalay weerarrada isdhaafsiga ah ee joogtada ah (XSS), taasoo keenaysa khatar weyn oo ah in la shaaciyo macluumaadka iyada oo loo marayo tixraacyo xaasidnimo ah. In kasta oo tafaasiisha gaarka ah ee ka faa'iidaysiga aan la shaacin, darnaanta dayacanka XSS ayaa hoosta ka xariiqaya degdegga ah ee tallaabo degdeg ah.
Nuglaanta waxay saamaysaa noocyada Roundcube ka hor 1.4.14, 1.5.x ka hor 1.5.4, iyo 1.6.x ka hor 1.6.3. Ilaaliyeyaasha Roundcube waxay si degdeg ah uga jawaabeen iyagoo siidaayay nooca 1.6.3 Sebtember 15, 2023, kaasoo wax ka qabanaya oo yareynaya baylahda la aqoonsaday. Ammaanta helitaanka iyo warbixinta CVE-2023-43770 waxay aadaysaa cilmi-baadhaha amniga Zscaler Niraj Shivtarar.
Cawaaqibta iyo Jilayaasha Khatarta ah ee suurtagalka ah
Dhacdooyin hore ayaa muujiyay in dayacanka macmiilka iimaylka ee ku salaysan mareegaha uu noqon karo hub lagu doorto jilayaasha halista ah. Kooxaha caanka ah, sida APT28 iyo Winter Vivern, ayaa hore uga faa'iidaysan jiray dayacanka la midka ah. Cawaaqibta ka dhalan karta ka faa'iidaysiga CVE-2023-43770 waxaa ka mid ah gelitaanka aan la ogolayn, xatooyada xogta, iyo waxyeelaynta macluumaadka xasaasiga ah. Degdegta ah ee isticmaalayaasha iyo ururada si ay u fuliyaan tallaabooyinka amniga lama soo koobi karo.
Jawaabta iyo dhimista
Iyada oo laga jawaabayo khatarta la aqoonsaday, hay'adaha Laanta Fulinta Rayidka ee Federaalka ee Mareykanka (FCEB) waxay soo saareen awaamiir ku saabsan hirgelinta hagaajinta ay bixiyaan iibiyaha Maarso 4, 2024. Awaamiirtan waxay ujeedadeedu tahay in la xoojiyo amniga shabakadda oo laga ilaaliyo khataraha internetka ee iman kara Nuglaanta CVE-2023-43770.
Hababka ugu Wanaagsan ee Ka Hortagga
Ka hortagga caabuqyada mustaqbalka waxay u baahan tahay hab firfircoon oo amniga internetka ah. Tixgeli hababka ugu wanaagsan ee soo socda:
- Cusbooneysii Software-ka: Si joogto ah u cusboonaysii Roundcube iyo software kale noocyadii ugu dambeeyay si aad u daboosho dayacanka una xoojiso amniga.
- Hirgelinta balamaha amniga: Codso balastar iyo cusbooneysiin ay bixiyaan iibiyaasha software-ka si degdeg ah si wax looga qabto dayacanka la aqoonsaday.
- Tababarka Wacyigelinta Isticmaalaha: Ku tababar isticmaalayaasha si ay u aqoonsadaan oo ay uga warbixiyaan iimaylada ama hawlaha laga shakiyo si loo yareeyo khatarta ku dhicida dhibbanaha si looga faa'iidaysto.
- Qaybinta Shabakadda: Hirgeli kala qaybinta shabakada si loo xaddido saamaynta iman karta weerarrada guuleysta oo loo xakameeyo fiditaanka hanjabaadaha.
Ugu Dambeyn
Ka faa'iidaysiga CVE-2023-43770 ee software-ka iimaylka ee Roundcube wuxuu muujinayaa muuqaalka khatarta ah ee sii kordhaya iyo baahida loo qabo tillaabooyin ammaan internet oo adag. Isticmaalayaasha iyo ururadu waa inay si degdeg ah u dhaqmaan si ay u dabaqaan balastarrada amniga lagama maarmaanka ah, cusboonaysiiyaan software, iyo kor u qaadista wacyiga isticmaalayaasha si loo yareeyo khatarta ku dhicida dhibbanaha dayacanka noocaas ah. Dadaalka iskaashiga ah ee cilmi-baarayaasha amniga, iibiyeyaasha software-ka, iyo mas'uuliyiinta amniga internetka ayaa door muhiim ah ka ciyaara ilaalinta jawiga dhijitaalka ah ee ka dhanka ah soo ifbaxa hanjabaadaha internetka.