米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、Roundcubeメールソフトウェアに影響を与える中程度の重大性を持つセキュリティ欠陥が積極的に悪用されているとして、その既知の悪用された脆弱性(KEV)カタログに追加した。この脆弱性はCVE-2023-43770(CVSSスコア:6.1)として追跡され、プレーンテキストメッセージ内のlinkrefsの処理に起因するクロスサイトスクリプティング(XSS)の欠陥に関連している。「Roundcube Webmailには、プレーン/テキストメッセージ内の悪意のあるリンク参照を介して情報漏洩につながる可能性のある永続的なクロスサイトスクリプティング(XSS)の脆弱性が含まれている」とCISAは述べている。この脆弱性は、Roundcubeのバージョン1.4.14より前、1.5.xの1.5.4より前、および1.6.xの1.6.3より前に影響を与える。この欠陥は、2023年9月15日にリリースされたバージョン1.6.3によってRoundcubeのメンテナーによって対処された。セキュリティ研究者のNiraj Shivtarkarがこの脆弱性を発見し報告したことが認められている。この脆弱性がどのように野生で悪用されているかは現在のところ不明であるが、ウェブベースのメールクライアントの欠陥は、昨年APT28やWinter Vivernのようなロシアに関連する脅威アクターによって武器化されていた。米国連邦民間行政機関(FCEB)は、潜在的な脅威に対してネットワークを保護するために、2024年3月4日までにベンダーが提供する修正を適用するよう命じられている。
【ニュース解説】
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)が、Roundcubeメールソフトウェアに存在するセキュリティ脆弱性が積極的に悪用されていると警告しました。この脆弱性は、クロスサイトスクリプティング(XSS)の問題であり、特定の条件下で攻撃者がユーザーの情報を盗み出す可能性があるとされています。
クロスサイトスクリプティング(XSS)とは、攻撃者が悪意のあるスクリプトをWebページに注入し、他のユーザーがそのページを閲覧した際にスクリプトが実行されるセキュリティ上の脆弱性です。この攻撃により、ユーザーのセッション情報やクッキーなどが盗まれることがあります。
Roundcubeは、Webベースのメールクライアントであり、多くの組織や個人に利用されています。このため、脆弱性の悪用は多くのユーザーに影響を及ぼす可能性があります。特に、情報漏洩は個人情報の不正利用やフィッシング攻撃のきっかけとなり得るため、この問題の修正は急務です。
CISAは、影響を受けるRoundcubeのバージョンに対してパッチを適用するようにとの指示を出しています。これは、潜在的な攻撃からユーザーを守るための重要なステップです。また、このような脆弱性が発見された場合、迅速な対応が求められます。
このニュースは、サイバーセキュリティの重要性を改めて浮き彫りにしています。特に、Webベースのアプリケーションやサービスを提供する企業は、セキュリティ対策を常に最新の状態に保つ必要があります。また、ユーザー自身も、使用しているソフトウェアのアップデートを定期的にチェックし、最新のセキュリティパッチを適用することが重要です。
長期的には、このような脆弱性の発見と修正を通じて、より安全なデジタル環境の構築が進むことが期待されます。しかし、攻撃者も常に新たな手法を開発しているため、セキュリティ対策は絶えず進化し続ける必要があります。企業や組織は、セキュリティ教育の強化や、定期的な脆弱性評価を行うことで、サイバー攻撃のリスクを低減できます。
from Alert: CISA Warns of Active 'Roundcube' Email Attacks – Patch Now.
