Una vulnerabilidad en el Roundcube correo electrónico La plataforma del servidor está siendo explotada activamente, advierte el gobierno de EE. UU., instando a sus organismos a aplicar el parche y proteger sus instancias lo antes posible.
En un aviso de seguridad, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dijo que se está explotando activamente un error persistente de secuencias de comandos entre sitios (XSS). Se abusa del error, rastreado como CVE-2023-43770, a través de enlaces y mensajes de texto sin formato personalizados.
La falla afecta a las versiones de los servidores de correo electrónico Roundcube entre 1.4.14 y 1.5.4 y a las versiones entre 1.6.0 y 1.6.3. El parche se lanzó hace aproximadamente medio año. CISA también dijo que las agencias del Poder Ejecutivo Civil Federal de EE. UU. (FCEB) tienen hasta el 4 de marzo para parchear la vulnerabilidad y proteger sus puntos finales.
El sector privado también está en riesgo
Si bien CISA se centra únicamente en agencias gubernamentales, eso no significa que las organizaciones del sector privado no estén en riesgo también.
A pitidocomputadora El informe dice que actualmente hay más de 130.000 servidores Roundcube en Internet. No se sabe cuántos de estos son vulnerables a la vulnerabilidad de secuencias de comandos entre sitios.
La misma publicación también afirma que hubo una falla similar en Roundcube (secuencias de comandos entre sitios), rastreada como CVE-2023-5631. Este fue abusado, como día cero, por un actor de amenazas ruso conocido como Winter Vivern. La campaña aparentemente comenzó el 11 de octubre del año pasado y resultó en que los piratas informáticos robaran correos electrónicos de servidores de correo web comprometidos de Roundcube que pertenecen a entidades gubernamentales y grupos de expertos en Europa.
Roundcube es un IMAP basado en web Cliente de correo electronico, cuya característica más popular es el uso generalizado de la tecnología Ajax. El producto es gratuito y de código abierto, sujeto a los términos de la Licencia Pública General GNU (excepto máscaras y complementos). Fue lanzado inicialmente en 2008, hace 16 años.