Специалисты по информационной безопасности фиксируют активную эксплуатацию критической уязвимости CVE-2025-49113 в популярном веб-клиенте Roundcube Webmail. Данная брешь в безопасности, получившая максимальную оценку 9,9 балла по шкале CVSS, позволяет злоумышленникам выполнять произвольный код на уязвимых серверах.
Масштаб проблемы и затронутые версии
Уязвимость присутствует в кодовой базе Roundcube более десяти лет, что делает ситуацию особенно критичной. Под угрозой находятся все версии почтового клиента от 1.1.0 до 1.6.10 включительно. Учитывая широкое распространение этого решения среди крупных хостинг-провайдеров, включая GoDaddy, Hostinger, Dreamhost и OVH, потенциальное количество уязвимых систем исчисляется миллионами.
Roundcube интегрирован в популярные панели управления хостингом, такие как cPanel и Plesk, что значительно расширяет поверхность атаки. По оценкам экспертов, вероятность обнаружения установки Roundcube в ходе тестирования на проникновение превышает шансы найти неправильную конфигурацию SSL-сертификатов.
Техническая природа уязвимости
Глава компании FearsOff Кирилл Фирсов, обнаруживший данную уязвимость, раскрыл технические подробности проблемы после появления эксплоитов в теневом сегменте интернета. Корень проблемы заключается в недостаточной валидации параметра $_GET[‘_from’], что приводит к небезопасной десериализации объектов PHP.
Механизм эксплуатации основан на том, что при определенных условиях — когда имя переменной сессии начинается с восклицательного знака — происходит нарушение целостности сессии, открывающее возможность для инъекции вредоносных объектов.
Активная эксплуатация в киберпреступной среде
Несмотря на то, что исправление было выпущено 1 июня 2025 года, киберпреступники потратили всего несколько дней на реверс-инжиниринг патча. В настоящее время рабочие эксплоиты для CVE-2025-49113 активно продаются на специализированных хакерских форумах.
Согласно информации с теневых площадок, для успешной атаки требуются действующие учетные данные пользователя. Однако злоумышленники не считают это серьезным препятствием, предлагая несколько способов получения доступа:
- Извлечение паролей из системных логов
- Применение методов брутфорса
- Использование CSRF-атак для компрометации учетных записей
Экономическая мотивация атакующих
Высокая ценность данной уязвимости подтверждается готовностью брокеров уязвимостей платить до 50 000 долларов за надежные RCE-эксплоиты для Roundcube. Такая стоимость отражает потенциальный ущерб от масштабных атак на критически важную инфраструктуру.
Исторический контекст угроз
Roundcube неоднократно становился мишенью для продвинутых киберпреступных группировок. В прошлом уязвимости в этом почтовом клиенте активно эксплуатировались такими APT-группами, как:
- APT28 (Fancy Bear) — связанная с российскими спецслужбами
- Winter Vivern — специализирующаяся на атаках против правительственных структур
- TAG-70 — группа, нацеленная на критически важную инфраструктуру
Рекомендации по защите
Немедленное обновление до последней версии Roundcube является критически важным шагом для обеспечения безопасности. Администраторам следует также реализовать дополнительные меры защиты, включая мониторинг подозрительной активности, использование веб-файрволов и регулярный аудит безопасности почтовых систем.
Данная ситуация наглядно демонстрирует важность своевременного применения обновлений безопасности и необходимость многоуровневой защиты критически важных систем. В условиях активной эксплуатации уязвимости и доступности готовых эксплоитов, промедление с установкой патчей может привести к серьезным последствиям для организаций любого масштаба.
