Roundcube Webmail Releases Security Updates to Patch Multiple Vulnerabilities
2024/08/05 SecurityOnline — OSS として人気を博す Web メール・クライアント Roundcube に存在する、深刻な脆弱性に対するセキュリティ・アップデートが、開発チームからリリースされた。昨日にリリースされた バージョン1.6.8/ 1.5.8 は、セキュリティ研究者 Oskar Zeino-Mahmalat (Sonar) から報告された、3件の深刻な脆弱性に対処するものだ。ユーザー・フレンドリーなインターフェイスと堅牢なメール管理機能が評価され、広く利用されている Roundcube プラットフォームの完全性とセキュリティを維持するために、このアップデートが提供された。
これらのアップデートで修正された脆弱性のうちの2件は、顕著なクロス・サイト・スクリプティング (XSS) の脆弱性として特定されたものだ。1つ目の脆弱性 CVE-2024-42008 は、電子メール・クライアントの一般的な機能である、添付ファイルの処理に関するものであり、悪用される可能性が指摘されている。2つ目の脆弱性 CVE-2024-42009 は、HTML コンテンツの処理におけるものであり、HTML メールの普及を考えると懸念すべきものとなる。どちらの脆弱性も、ユーザーのブラウザセッション内で、脅威アクターによる任意のスクリプト注入を可能にするものであり、深刻なリスクをもたらすとされる。
これらの XSS 脆弱性に加えて、情報漏洩の脆弱性 CVE-2024-42010 にもパッチが適用された。この脆弱性は CSS の処理に関連するものであり、特定の条件下において機密情報の漏洩を引き起こす可能性があるという。
Roundcube バージョン 1.6.8 へのアップデートは、これらの脆弱性に対処するだけのものではなく、全体的なパフォーマンスと安定性の向上を目的とした、一連のバグ修正も取り込んでいる。
現時点において、これらの脆弱性が野放しで悪用されているという証拠はないが、Roundcube が脅威アクターたちの標的になるのは一般的なことである。特に、ロシアに支援される APT28 は、2023年6月に Roundcube の脆弱性 CVE-2020-35730 を悪用することで、ウクライナの組織を侵害している。また、やはりロシアのグループである Winter Vivern は、2023年10月にゼロデイ脆弱性 CVE-2023-5631 を悪用することで、欧州の政府機関を標的としていた。
なお、2024年2月に Cybersecurity and Infrastructure Security Agency (CISA) は、Roundcube の脆弱性 CVE-2023-43770 が活発に悪用されていることを警告し、システムへのパッチ適用の緊急性を強調していた。
Roundcube を使用している組織は、これらのアップデートを優先し、潜在的なリスクを軽減すべきである。さらに、ユーザー組織に対して推奨されるのは、定期的な脆弱性評価/堅牢な電子メール・フィルタリングの導入と、フィッシングやソーシャルエンジニアリングを認識して対応するための、ユーザー・トレーニング・プログラム採用により、包括的なセキュリティ対策を実施することである。
このブログでは、2024/02/12 の「CISA KEV 警告 24/02/12:Roundcube の XSS 脆弱性 CVE-2023-43770 を追加」と、2024/06/27 の「CISA KEV 警告 24/06/26:GeoSolutions/Linux Kernel/ Roundcube の脆弱性を登録」に続いて、2024年に入ってからの3回目の Roundcube の脆弱性となります。前回のものは、いずれも CISA KEV に登録されていますが、今回はエクスプロイトに至らなければ良いですね。
IoT OT Security News 
You must be logged in to post a comment.