CVE-2023-43770 nel software di posta elettronica Roundcube sfruttato in natura

Gli Stati Uniti. Agenzia per la sicurezza informatica e delle infrastrutture (CISA) da poco tempo aggiunto una vulnerabilità nel software di posta elettronica Roundcube alle sue vulnerabilità sfruttate note (KEV). Identificato come CVE-2023-43770 con un punteggio CVSS di 6.1, Questo scripting cross-site (XSS) vulnerabilità è stato attivamente sfruttato in natura.

CVE-2023-43770 in dettaglio

La vulnerabilità, come descritto dal CISA e dal National Vulnerability Database (NVD), ruota attorno alla cattiva gestione dei linkref nei messaggi di testo semplice all'interno di Roundcube Webmail. Questa scappatoia porta potenzialmente a scripting cross-site persistenti (XSS) attacchi, rischiando così la divulgazione di informazioni tramite riferimenti a collegamenti dannosi.

Versioni Roundcube interessate

Versioni Roundcube precedenti a 1.4.14, 1.5.x prima 1.5.4, e 1.6.x precedenti 1.6.3 si confermano sensibili a questa vulnerabilità. Tuttavia, I manutentori di Roundcube hanno prontamente risolto il problema con il rilascio della versione 1.6.3 a settembre 15, 2023. Il merito di aver scoperto e segnalato questa vulnerabilità va al ricercatore di sicurezza Zscaler Niraj Shivtarkar.

Mentre i dettagli dello sfruttamento CVE-2023-43770 rimangono sconosciuti, gli incidenti passati hanno visto le vulnerabilità dei client di posta elettronica basati sul Web sfruttate come armi da parte di autori di minacce, compresi gruppi legati alla Russia come APT28 e Vivern invernale. Il potenziale impatto di tale sfruttamento sottolinea l’urgenza per gli utenti e le organizzazioni di dare priorità alle misure di sicurezza.

In risposta a questa minaccia, U.S. Ramo esecutivo civile federale (FCEB) alle agenzie è stato chiesto di implementare le correzioni fornite dai fornitori entro marzo 4, 2024. Questo mandato mira a rafforzare le reti contro potenziali minacce informatiche derivanti dalla vulnerabilità identificata.