CVE-2023-43770: уязвимость Roundcube превращает вашу приватную переписку в открытую книгу

Эксперты предупреждают о критической уязвимости в почтовом сервере Roundcube, которая формально была исправлена еще в сентябре прошлого года, но все еще используется злоумышленниками для проведения атак методом межсайтового скриптинга (XSS).

Roundcube — это бесплатный, открытый веб-клиент для работы с электронной почтой, который обеспечивает удобное чтение, отправку и управление электронными письмами непосредственно через веб-браузер. Этот клиент выделяется интуитивно понятным интерфейсом, напоминающим традиционные настольные почтовые приложения, и предлагает возможности настройки через плагины. Roundcube поддерживает множество языков, что делает его популярным среди пользователей по всему миру. Им также пользуются представители крупного бизнеса и государственные организации. Среди ключевых функций — продвинутый HTML-редактор для составления писем, адресная книга, поддержка вложений и поиск по содержимому писем.

Речь идет о проблеме CVE-2023-43770 , которая представляет собой XSS-уязвимость постоянного типа. Она позволяет атакующим получить доступ к защищенной информации путем отправки сообщений в формате plain/text со злонамеренными ссылками. Операция требует минимального участия пользователя.

Баг затронул версии Roundcube начиная с 1.4.14 и выше, включая серии 1.5.x до 1.5.4 и 1.6.x до 1.6.3. После обнаружения проблемы разработчики порекомендовали клиентам срочно обновиться до последних версий, особенно подчеркнув важность апдейта для пользователей 1.6.x.

Даже агентство CISA проявило озабоченность по данному вопросу, включив CVE-2023-43770 в свой Каталог известных эксплуатируемых уязвимостей . Это действие доказывает серьезность проблемы, ведь подобные дефекты могут также угрожать безопасности федеральных структур.

Ситуация усугубляется тем, что помимо CVE-2023-43770, злоумышленники эксплуатируют и другие уязвимости в Roundcube. В частности, группа Winter Vivern неоднократно использовала проблему CVE-2023-5631 для проведения целенаправленных атак. Преступникам удалось внедрить вредоносный код JavaScript в HTML-письма и SVG-документы с помощью несложных манипуляций. Эти атаки привели к компрометации серверов веб-почты Roundcube, используемых правительственными учреждениями и аналитическими центрами в Европе, а также к нарушению безопасности данных НАТО.

CISA выделила агентствам Федеральной гражданской исполнительной власти (Federal Civilian Executive Branch, FCEB) срок до 4 марта для устранения проблемы в соответствии с директивой BOD 22-01. Хотя основное внимание уделено государственным структурам, рекомендации касаются и частных организаций по всему миру.