Правительство США предупредило, что уязвимость в платформе почтового сервера Roundcube активно используется, призывая свои ведомства как можно скорее применить исправление и защитить свои ведомства.
В рекомендациях по безопасности Агентство кибербезопасности и безопасности инфраструктуры (CISA) заявило, что постоянная ошибка межсайтового скриптинга (XSS) активно используется в реальных условиях. Ошибка, отслеживаемая как CVE-2023-43770, используется с помощью настраиваемых текстовых сообщений и ссылок.
Уязвимость затрагивает версии почтовых серверов Roundcube между 1.4.14 и 1.5.4 и версии между 1.6.0 и 1.6.3. Патч вышел около полугода назад. CISA также сообщила, что агентства Федеральной гражданской исполнительной власти США (FCEB) должны до 4 марта исправить уязвимость и защитить свои конечные точки. Частный сектор также находится под угрозой
Хотя CISA фокусируется исключительно на государственных учреждениях, это не означает, что организации частного сектора также не подвергаются риску.
a BleepingComputer Согласно отчету, в настоящее время в Интернете имеется более 130 000 серверов Roundcube. Невозможно сказать, сколько из них уязвимы для уязвимости межсайтового скриптинга.
В той же публикации также отмечается, что существовал аналогичный недостаток Roundcube (межсайтовый скриптинг), отслеживаемый как CVE-2023-5631. Это было использовано как «нулевой день» российским злоумышленником, известным как Winter Vivern. Кампания, судя по всему, началась 11 октября прошлого года и привела к тому, что хакеры украли электронную почту со скомпрометированных серверов веб-почты Roundcube правительственных учреждений и аналитических центров в Европе.
Roundcube — это веб-клиент электронной почты IMAP, самой популярной особенностью которого является широкое использование технологии Ajax. Продукт является бесплатным и имеет открытый исходный код, на который распространяются условия Стандартной общественной лицензии GNU (за исключением скинов и плагинов). Впервые он был выпущен в 2008 году, 16 лет назад. Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
