CISA Adds Roundcube Webmail Persistent Xss Bug To Its Known Exploited Vulnerabilities Catalog
2024/02/12 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Roundcube Webmail に存在する持続的 XSS (Cross-Site Scripting) の脆弱性 CVE-2023-43770 を、KEV (Known Exploited Vulnerabilities Catalog) カタログに追加した。
Roundcube は、オープンソースのEメール・クライアントであり、Web ブラウザ経由でEメールアカウントにアクセスするという、ユーザー・フレンドリーなインターフェースを提供している。そして、ユーザーが実行できるEメール関連のタスクには、メールの送受信/連絡先の管理/メッセージのフォルダの整理などがある。さらに Roundcube は、IMAP/SMTP などの標準的なEメールプロトコルをサポートしているため、幅広いEメール・サーバーと互換性がある。
この脆弱性が悪用されると、プレーン/テキストメッセージ内の悪意のリンク参照を介して、情報漏洩が生じる可能性がある。
Niraj Shivtarka によって発見された、この脆弱性は、Roundcube の 1.4.14 未満/1.5.4 未満の1.5.x/1.6.3 未満の 1.6.x に影響を与えるが、バージョン 1.6.3 のリリースで修正されている。
米政府の拘束的運用指令 (BOD:Binding Operational Directive ) 22-01によると、FCEB 機関に要求されるのは、既知の脆弱性が悪用される深刻なリスクの軽減である。そのために、KEV カタログに掲載された脆弱性を悪用する攻撃から、ネットワークを保護するための対策を、特定された期日までに実施するよう求められている。
CISA は連邦政府機関に対して、2024年3月4日までに、この脆弱性を修正するよう命じている。
民間組織においても、KEV カタログを見直してインフラの脆弱性に対処することを、専門家たちは推奨している。
2023年10月には、Roundcube の別のゼロデイ脆弱性が、ロシアの APT グループである Winter Vivern (別名:TA473) に悪用されていた。そのゼロデイ脆弱性は、同グループが他の攻撃で悪用した CVE-2020-35730 とは異なるものだと、ESET の研究者たちは指摘していた。
このゼロデイの報告を ESET から受けた Roundcube は、2023年10月14日にパッチを適用した。この脆弱性が影響する Roundcube のバージョンは、1.6.4 未満の 1.6.x/1.5.5 未満の 1.5.x/1.4.15 未満の 1.4.x である。
Roundcube の XSS 脆弱性 CVE-2023-43770 ですが、ニュースになり始めたと思っていたら、CISA KEV に速攻で登録されました。このブログには二度目の登場であり2023/10/25 の「Roundcube Server の 脆弱性 CVE-2023-5631:Winter Vivern グループが攻撃を開始」に続くものとなります。
IoT OT Security News 
You must be logged in to post a comment.