CVE-2023-43770 i Roundcube e-mail-software udnyttet i naturen

USA. Cybersecurity and Infrastructure Security Agency (CISA) for nylig tilføjet en sårbarhed i Roundcube-e-mail-softwaren til dens kendte, udnyttede sårbarheder (KEV). Identificeret som CVE-2023-43770 med en CVSS-score på 6.1, denne cross-site scripting (XSS) sårbarhed er blevet aktivt udnyttet i naturen.

CVE-2023-43770 i detaljer

Sårbarheden, som beskrevet af CISA og National Vulnerability Database (NVD), drejer sig om forkert håndtering af linkrefs i almindelige tekstbeskeder i Roundcube Webmail. Dette smuthul fører potentielt til vedvarende cross-site scripting (XSS) angreb, derved risikerer afsløring af oplysninger gennem ondsindede linkhenvisninger.

Berørte Roundcube-versioner

Roundcube versioner før 1.4.14, 1.5.x før 1.5.4, og 1.6.x før 1.6.3 er bekræftet at være modtagelige for denne sårbarhed. Men, Roundcube-vedligeholdere har omgående løst problemet med udgivelsen af version 1.6.3 den september 15, 2023. Æren for at opdage og rapportere denne sårbarhed går til Zscaler-sikkerhedsforsker Niraj Shivtarkar.

Mens detaljerne i CVE-2023-43770-udnyttelsen forbliver uoplyst, tidligere hændelser har set webbaserede e-mail-klienters sårbarheder blevet våbenet af trusselsaktører, herunder Rusland-forbundne grupper som APT28 og Winter Vivern. Den potentielle indvirkning af en sådan udnyttelse understreger det presserende for brugere og organisationer at prioritere sikkerhedsforanstaltninger.

Som svar på denne trussel, US. Federal Civil Executive Branch (FCEB) agenturer er blevet bedt om at implementere leverandørleverede rettelser inden marts 4, 2024. Dette mandat har til formål at styrke netværk mod potentielle cybertrusler, der stammer fra den identificerede sårbarhed.