A CISA arra figyelmeztet, hogy a Roundcube e-mail szerver szeptemberben már javított sebezhetőségét most aktívan kihasználják cross-site scripting (XSS) támadásokban.
A CISA hozzáadta a sebezhetőséget a KEV katalógusához, figyelmeztetve, hogy az ilyen biztonsági hibák gyakori támadási vektorok és jelentős kockázatot jelentenek a szövetségi vállalatok számára. A támadásokról nem közölt további részleteket.
A CVE-2023-43770 egy tartós cross-site scripting (XSS) hiba, amely lehetővé teszi, hogy a támadók egyszerű/szöveges üzenetekben küldött, szerkesztett linkel véghezvitt, felhasználói beavatkozást igénylő támadások során, korlátozott információkat érjenek el.
A sebezhetőség az 1.4.14-nél újabb, 1.5.4 előtti és 1.6.3 előtti verziókat futtató Roundcube e-mail szervereket érinti.
A CISA egyúttal utasította az amerikai szövetségi polgári végrehajtó szerveket (FCEB), hogy a 2021 novemberében kiadott kötelező érvényű működési utasítás (BOD 22-01) előírása szerint három héten belül, március 4-ig biztosítsák a Roundcube webmail szervereket a biztonsági hiba ellen.
Bár a KEV katalógus elsődleges célja, hogy figyelmeztesse a szövetségi ügynökségeket az olyan sebezhetőségekre, amelyeket a lehető leghamarabb javítani kell, a magánszervezeteknek világszerte szintén erősen ajánlott prioritásként kezelniük ezt a hibát.
A Shodan jelenleg több mint 132 000, az interneten elérhető Roundcube szervert követ nyomon. Arról azonban nem áll rendelkezésre információ, hogy hányan vannak kitéve a CVE-2023-43770 exploitot kihasználó, folyamatban lévő támadásnak.
Egy másik Roundcube hiba, a CVE-2023-5631 néven nyomon követett cross-site scripting (XSS) sebezhetőség, amelyet a Winter Vivern (más néven TA473) orosz hackercsoport legalább október 11. óta kihasznál. A támadók olyan SVG dokumentumokat tartalmazó HTML e-mail üzeneteket használtak, amelyeknek a célja tetszőleges JavaScript kód távoli bevitele volt. Az októberi támadásokban használt JavaScript payload lehetővé tette az orosz hackerek számára, hogy e-maileket lopjanak el az európai kormányzati szervekhez és kutatóközpontokhoz tartozó, kompromittált Roundcube webmail szerverekről.