L’Agence de cybersécurité et de sécurité des infrastructures américaine (CISA) a sonné l’alarme concernant le webmail Roundcube. En cause, une faille de sécurité activement exploitée. Un correctif a déjà été déployé.
La semaine dernière, la CISA a révélé la présence d’une vulnérabilité de sévérité moyenne affectant le client de messagerie Roundcube. Estampillée CVE-2023-43770, la faille s’est vu attribuer un score CVSS de 6.1. Pour rappel, CVSS, pour Common Vulnerability Scoring System, est un système de notation standardisé des vulnérabilités. Au-delà de 7, elles passent d’un niveau de sévérité « moyen » à « important ».
Une vulnérabilité XSS activement exploitée
Alors que Roundcube, service mail fourni par l'hébergeur web OVH, figure sur la liste des logiciels recommandés par l’État français dans l’administration, la CISA a alerté sur l’exploitation active d’une faille XSS persistante (cross-site scripting). Celle-ci permet aux hackers d’injecter du code malveillant avec la redirection de liens hypertextes contenus dans les messages (bruts et textes).
D’après la base de données nationale alimentée par le NIST, cette vulnérabilité, créditée à Niraj Shivtarkar, chercheur en sécurité chez Zscaler, concerne les versions de Roundcube antérieures à 1.4.14, mais aussi les versions 1.5.x antérieures à 1.5.4, et 1.6.x antérieures à 1.6.3. Un patch de sécurité a déjà été déployé par les responsables de Roundcube avec la version 1.6.3, déployée en septembre 2023. Les utilisateurs et utilisatrices du webmail sont donc invités à mettre à jour le logiciel dans les plus brefs délais.
Si l’on ne sait pas exactement comment et par qui la vulnérabilité est exploitée, le mode n’est pas sans rappeler les exploits pilotés par les groupes de pirates russes APT28 et Winter Vivern ayant déjà affecté les serveurs de Roundcube en octobre dernier. Les cyberattaques avaient alors visé plus de 80 organisations, principalement en Pologne, en Ukraine et en France, dans le but d’obtenir des renseignements sur les activités militaires et politiques européennes.
Source : CISA