Ninu idagbasoke aipẹ kan, US Cybersecurity ati Aabo Aabo Amayederun (CISA) ti ṣe idanimọ ailagbara pataki kan ninu sọfitiwia imeeli Roundcube, ti a ṣe apẹrẹ bi CVE-2023-43770. Ailagbara yii, ti a tito lẹšẹšẹ bi abawọn aaye-agbelebu (XSS) pẹlu Dimegilio CVSS kan ti 6.1, ti ni ilokulo ninu igbẹ. Nkan yii yoo ṣawari sinu awọn alaye ti CVE-2023-43770, awọn abajade ti o pọju, awọn ẹya ti o kan, ati awọn igbesẹ atunṣe ti a ṣeduro nipasẹ awọn alaṣẹ cybersecurity.
Awọn alaye ti CVE-2023-43770
Awọn ile-iṣẹ CVE-2023-43770 ni ayika aiṣedeede ti awọn ọna asopọ ni awọn ifọrọranṣẹ itele laarin Roundcube Webmail Syeed. Aṣiṣe yii ṣẹda ọna ti o pọju fun awọn ikọlu iwe afọwọkọ aaye-agbekọja (XSS), ti o fa eewu pataki ti sisọ alaye nipasẹ awọn itọkasi ọna asopọ irira. Botilẹjẹpe awọn alaye pato ti ilokulo jẹ eyiti a ko sọ di mimọ, iwuwo ti awọn ailagbara XSS ṣe afihan iyara fun igbese lẹsẹkẹsẹ.
Ailagbara naa ni ipa lori awọn ẹya Roundcube ṣaaju 1.4.14, 1.5.x ṣaaju 1.5.4, ati 1.6.x ṣaaju 1.6.3. Awọn olutọpa Roundcube ti dahun ni kiakia nipa jijade ẹya 1.6.3 ni Oṣu Kẹsan Ọjọ 15, Ọdun 2023, eyiti o koju ati dinku ailagbara ti a mọ. Kirẹditi fun wiwa ati ijabọ CVE-2023-43770 lọ si oluwadi aabo Zscaler Niraj Shivtarar.
Awọn abajade ati Awọn oṣere Irokeke ti o pọju
Awọn iṣẹlẹ ti o ti kọja ti ṣe afihan pe awọn ailagbara alabara imeeli ti o da lori wẹẹbu le di ohun ija yiyan fun awọn oṣere irokeke. Awọn ẹgbẹ olokiki, gẹgẹbi APT28 ati Winter Vivern, ti lo awọn ailagbara ti o jọra ni iṣaaju. Awọn abajade ti o pọju ti ilokulo CVE-2023-43770 pẹlu iraye si laigba aṣẹ, ole data, ati ipasẹ agbara ti alaye ifura. Ikanju fun awọn olumulo ati awọn ajo lati ṣe awọn igbese aabo ko le ṣe apọju.
Idahun ati Idinku
Ni idahun si irokeke ti a damọ, Ẹka Alaṣẹ Ara ilu ti AMẸRIKA (FCEB) ti ṣe itọsọna kan fun imuse ti awọn atunṣe ti olutaja ti pese nipasẹ Oṣu Kẹta Ọjọ 4, Ọdun 2024. Ilana yii ni ero lati ṣe atilẹyin aabo nẹtiwọọki ati daabobo lodi si awọn irokeke cyber ti o pọju ti ipilẹṣẹ lati ọdọ ailagbara CVE-2023-43770.
Awọn adaṣe ti o dara julọ fun Idena
Idilọwọ awọn akoran ọjọ iwaju nilo ọna imudani si cybersecurity. Wo awọn iṣe ti o dara julọ wọnyi:
- Jeki Software imudojuiwọn: Ṣe imudojuiwọn Roundcube nigbagbogbo ati sọfitiwia miiran si awọn ẹya tuntun lati pa awọn ailagbara ati ilọsiwaju aabo.
- Ṣiṣe awọn abulẹ Aabo: Waye awọn abulẹ ati awọn imudojuiwọn ti a pese nipasẹ awọn olutaja sọfitiwia ni kiakia lati koju awọn ailagbara ti a mọ.
- Ikẹkọ Olumulo: Kọ awọn olumulo lati ṣe idanimọ ati jabo awọn imeeli ifura tabi awọn iṣẹ ṣiṣe lati dinku eewu ti jibiti si awọn ilokulo.
- Ipin Nẹtiwọọki: Mu ipin nẹtiwọki ṣiṣẹ lati ṣe idinwo ipa ti o pọju ti awọn ikọlu aṣeyọri ati ni itankale awọn irokeke ninu.
ipari
Iwa ilokulo ti CVE-2023-43770 ni sọfitiwia imeeli Roundcube ṣe afihan ala-ilẹ irokeke ewu ati iwulo fun awọn igbese cybersecurity to lagbara. Awọn olumulo ati awọn ẹgbẹ gbọdọ ṣiṣẹ ni iyara lati lo awọn abulẹ aabo to ṣe pataki, sọfitiwia imudojuiwọn, ati igbega imo laarin awọn olumulo lati dinku eewu ti jijabọ si iru awọn ailagbara bẹẹ. Awọn akitiyan ifowosowopo ti awọn oniwadi aabo, awọn olutaja sọfitiwia, ati awọn alaṣẹ cybersecurity ṣe ipa pataki ni aabo aabo awọn agbegbe oni-nọmba lati dide irokeke cyber.