Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), aktif istismarın kanıtlarına dayanarak Roundcube Webmail’deki Bilinen İstismar Edilen Güvenlik Açıkları Kataloğu’na bir güvenlik açığı ekledi. Bu, Federal Sivil Yürütme Organı (FCEB) kurumlarının, cihazlarını aktif tehditlere karşı korumak için 4 Mart 2024’e kadar bu güvenlik açığını gidermeleri gerektiği anlamına geliyor. Diğer Roundcube Webmail kullanıcılarını da bu konuyu ciddiye almaya davet ediyoruz.
Roundcube web tabanlı bir IMAP e-posta istemcisidir. E-posta almak için İnternet Mesaj Erişim Protokolü (IMAP) kullanılır. Kullanıcıların e-postalarına birden fazla farklı cihazdan erişmesine olanak tanır ve bu nedenle dizüstü bilgisayarınızda bir e-postayı okuduğunuzda, telefonunuzda da “okundu” olarak işaretlenir. Bildirildiğine göre internet üzerinden erişilebilen 132.000’den fazla Roundcube sunucusu var. Çoğu ABD ve Çin’de bulunuyor.
Etkilenen sürümler, 1.4.14’ten önceki Roundcube sürümleri, 1.5.4’ten önceki 1.5.x ve 1.6.3’ten önceki 1.6.x sürümleridir. Güvenlik açığını 1.6.3 sürümüyle düzeltmeye yönelik bir güncelleme 15 Eylül 2023’ten beri mevcut. Bu yazının yazıldığı sırada 1.6.6 olan mevcut sürümde de güvenlik açığı bulunmuyor.
Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemelere eklenen CVE şudur:
Saldırganların kısıtlı bilgilere erişmesine olanak tanıyan kalıcı bir siteler arası komut dosyası çalıştırma (XSS) hatası olan CVE-2023-43770.
XSS güvenlik açıkları, web uygulamalarına gelen girdilerin doğrulanmaması ve/veya tarayıcıya gönderilen çıktıların görüntülenmeden önce düzgün bir şekilde kaçmaması durumunda ortaya çıkar. Kalıcı veya depolanmış XSS, güvenilmeyen veya doğrulanmamış kullanıcı girişinin bir hedef sunucuda depolanması durumunda ortaya çıkan bir tür güvenlik açığıdır.
Bu, saldırganın zayıf bir web sitesini veya web uygulamasını kullanarak kötü amaçlı kod enjekte etmesi durumunda kalıcı bir XSS saldırısının mümkün olduğu ve bu kodun bir sunucuda saklandığı ve daha sonra web sayfasını ziyaret eden diğer kullanıcılara otomatik olarak sunulacağı anlamına gelir.
Bu durumda, saldırganların Roundcube kullanıcılarına içinde XSS bağlantıları bulunan düz metin e-postaları gönderebildiği görülüyor, ancak Roundcube bağlantıları temizlemez ve elbette e-postayı saklayarak kalıcılık yaratır.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi’ni kullanarak güvenlik açıklarını yedekte tutun.