சமீபத்திய வளர்ச்சியில், அமெரிக்க சைபர் செக்யூரிட்டி மற்றும் இன்ஃப்ராஸ்ட்ரக்சர் செக்யூரிட்டி ஏஜென்சி (CISA) CVE-2023-43770 என நியமிக்கப்பட்ட ரவுண்ட்கியூப் மின்னஞ்சல் மென்பொருளில் ஒரு முக்கியமான பாதிப்பைக் கண்டறிந்துள்ளது. இந்த பாதிப்பு, CVSS மதிப்பெண் 6.1 உடன் கிராஸ்-சைட் ஸ்கிரிப்டிங் (XSS) குறைபாடாக வகைப்படுத்தப்பட்டுள்ளது, இது காடுகளில் தீவிரமாகப் பயன்படுத்தப்படுகிறது. இந்தக் கட்டுரை CVE-2023-43770 இன் விவரங்கள், அதன் சாத்தியமான விளைவுகள், பாதிக்கப்பட்ட பதிப்புகள் மற்றும் சைபர் பாதுகாப்பு அதிகாரிகளால் பரிந்துரைக்கப்பட்ட சரிசெய்தல் படிகளை ஆராயும்.
CVE-2023-43770 இன் விவரங்கள்
CVE-2023-43770 மையங்களில் உள்ள எளிய குறுஞ்செய்திகளில் லிங்க்ரெஃப்களை தவறாகக் கையாள்கிறது ரவுண்ட்கியூப் வெப்மெயில் இயங்குதளம். இந்த குறைபாடு, தொடர்ச்சியான குறுக்கு-தள ஸ்கிரிப்டிங் (எக்ஸ்எஸ்எஸ்) தாக்குதல்களுக்கான சாத்தியமான வழியை உருவாக்குகிறது, இது தீங்கிழைக்கும் இணைப்பு குறிப்புகள் மூலம் தகவல் வெளிப்படுத்தப்படுவதற்கான குறிப்பிடத்தக்க அபாயத்தை ஏற்படுத்துகிறது. சுரண்டலின் குறிப்பிட்ட விவரங்கள் வெளியிடப்படவில்லை என்றாலும், XSS பாதிப்புகளின் தீவிரம் உடனடி நடவடிக்கைக்கான அவசரத்தை அடிக்கோடிட்டுக் காட்டுகிறது.
1.4.14க்கு முந்தைய ரவுண்ட்கியூப் பதிப்புகளிலும், 1.5க்கு முன் 1.5.4.x மற்றும் 1.6க்கு முன் 1.6.3.xஐயும் பாதிப்பு பாதிக்கிறது. செப்டம்பர் 1.6.3, 15 அன்று 2023 பதிப்பை வெளியிடுவதன் மூலம் ரவுண்ட்கியூப் பராமரிப்பாளர்கள் உடனடியாக பதிலளித்துள்ளனர், இது அடையாளம் காணப்பட்ட பாதிப்பைக் கண்டறிந்து குறைக்கிறது. CVE-2023-43770 இன் கண்டுபிடிப்பு மற்றும் அறிக்கையிடலுக்கான கடன் Zscaler பாதுகாப்பு ஆராய்ச்சியாளர் நிராஜ் ஷிவ்தார்கருக்குச் செல்கிறது.
விளைவுகள் மற்றும் சாத்தியமான அச்சுறுத்தல் நடிகர்கள்
இணைய அடிப்படையிலான மின்னஞ்சல் கிளையண்ட் பாதிப்புகள் அச்சுறுத்தல் நடிகர்களுக்கு விருப்பமான ஆயுதமாக மாறும் என்பதை கடந்த கால சம்பவங்கள் நிரூபித்துள்ளன. APT28 மற்றும் Winter Vivern போன்ற குறிப்பிடத்தக்க குழுக்கள் கடந்த காலத்தில் இதே போன்ற பாதிப்புகளை பயன்படுத்தின. CVE-2023-43770 சுரண்டலின் சாத்தியமான விளைவுகளில் அங்கீகரிக்கப்படாத அணுகல், தரவு திருட்டு மற்றும் முக்கியமான தகவல்களின் சாத்தியமான சமரசம் ஆகியவை அடங்கும். பயனர்கள் மற்றும் நிறுவனங்கள் பாதுகாப்பு நடவடிக்கைகளை செயல்படுத்துவதற்கான அவசரத்தை மிகைப்படுத்த முடியாது.
பதில் மற்றும் தணிப்பு
அடையாளம் காணப்பட்ட அச்சுறுத்தலுக்கு விடையிறுக்கும் வகையில், US Federal Civilian Executive Branch (FCEB) ஏஜென்சிகள் மார்ச் 4, 2024க்குள் விற்பனையாளர் வழங்கிய திருத்தங்களைச் செயல்படுத்துவதற்கான உத்தரவை வெளியிட்டுள்ளன. இந்த உத்தரவு நெட்வொர்க் பாதுகாப்பை வலுப்படுத்துவதையும் இணைய அச்சுறுத்தல்களில் இருந்து பாதுகாப்பதையும் நோக்கமாகக் கொண்டுள்ளது. CVE-2023-43770 பாதிப்பு.
தடுப்புக்கான சிறந்த நடைமுறைகள்
எதிர்கால நோய்த்தொற்றுகளைத் தடுப்பதற்கு இணையப் பாதுகாப்பிற்கான ஒரு செயலூக்கமான அணுகுமுறை தேவைப்படுகிறது. பின்வரும் சிறந்த நடைமுறைகளைக் கவனியுங்கள்:
- மென்பொருளைப் புதுப்பிக்கவும்: ரவுண்ட்கியூப் மற்றும் பிற மென்பொருட்களை சமீபத்திய பதிப்புகளுக்குத் தொடர்ந்து புதுப்பித்து, பாதிப்புகளைத் தவிர்க்கவும், பாதுகாப்பை மேம்படுத்தவும்.
- பாதுகாப்பு இணைப்புகளை செயல்படுத்தவும்: அடையாளம் காணப்பட்ட பாதிப்புகளை நிவர்த்தி செய்ய, மென்பொருள் விற்பனையாளர்களால் வழங்கப்பட்ட இணைப்புகள் மற்றும் புதுப்பிப்புகளை உடனடியாகப் பயன்படுத்தவும்.
- பயனர் விழிப்புணர்வு பயிற்சி: சந்தேகத்திற்கிடமான மின்னஞ்சல்கள் அல்லது செயல்பாடுகளை அடையாளம் கண்டு புகாரளிக்க பயனர்களுக்கு பயிற்சி அளிக்கவும்.
- நெட்வொர்க் பிரிவு: வெற்றிகரமான தாக்குதல்களின் சாத்தியமான தாக்கத்தை கட்டுப்படுத்தவும், அச்சுறுத்தல்களின் பரவலைக் கட்டுப்படுத்தவும் நெட்வொர்க் பிரிவைச் செயல்படுத்தவும்.
தீர்மானம்
ரவுண்ட்கியூப் மின்னஞ்சல் மென்பொருளில் CVE-2023-43770 இன் சுரண்டல் வளர்ந்து வரும் அச்சுறுத்தல் நிலப்பரப்பு மற்றும் வலுவான இணைய பாதுகாப்பு நடவடிக்கைகளின் அவசியத்தை எடுத்துக்காட்டுகிறது. பயனர்களும் நிறுவனங்களும் தேவையான பாதுகாப்பு இணைப்புகளைப் பயன்படுத்தவும், மென்பொருளைப் புதுப்பிக்கவும், பயனர்களிடையே விழிப்புணர்வை ஏற்படுத்தவும், இதுபோன்ற பாதிப்புகளுக்கு பலியாகும் அபாயத்தைத் தணிக்க விரைவாகச் செயல்பட வேண்டும். பாதுகாப்பு ஆராய்ச்சியாளர்கள், மென்பொருள் விற்பனையாளர்கள் மற்றும் இணைய பாதுகாப்பு அதிகாரிகளின் கூட்டு முயற்சிகள் டிஜிட்டல் சூழல்களை வளர்ந்து வருவதற்கு எதிராக பாதுகாப்பதில் முக்கிய பங்கு வகிக்கிறது. இணைய அச்சுறுத்தல்கள்.