Експерти з інформаційної безпеки фіксують активне використання критичної вразливості CVE-2025-49113 у широко розповсюдженому веб-клієнті Roundcube Webmail. Ця серйозна брешь у безпеці отримала найвищу оцінку 9,9 балів за шкалою CVSS та дозволяє зловмисникам виконувати довільний код на скомпрометованих серверах.
Масштаби загрози та вразливі версії
Особливу стурбованість викликає той факт, що уразливість присутня в кодовій базі Roundcube понад десять років. Під загрозою перебувають усі версії поштового клієнта від 1.1.0 до 1.6.10 включно. Враховуючи широке впровадження цього рішення серед провідних хостинг-провайдерів, включаючи GoDaddy, Hostinger, Dreamhost та OVH, кількість потенційно вразливих систем вимірюється мільйонами.
Roundcube інтегровано в популярні панелі управління хостингом, зокрема cPanel та Plesk, що значно розширює поверхню атаки. За оцінками фахівців, ймовірність виявлення інсталяції Roundcube під час тестування на проникнення перевищує шанси знайти некоректну конфігурацію SSL-сертифікатів.
Технічні особливості уразливості
Керівник компанії FearsOff Кирило Фірсов, який виявив дану уразливість, розкрив технічні деталі проблеми після появи експлойтів у даркнеті. Основна причина полягає в недостатній валідації параметра $_GET[‘_from’], що призводить до небезпечної десеріалізації об’єктів PHP.
Механізм експлуатації базується на порушенні цілісності сесії за певних умов – коли ім’я змінної сесії починається з знаку оклику. Це створює можливість для ін’єкції шкідливих об’єктів та подальшого виконання довільного коду на сервері.
Активна експлуатація в кіберзлочинному середовищі
Незважаючи на випуск виправлення 1 червня 2025 року, кіберзлочинці витратили лише кілька днів на зворотну розробку патча. Наразі функціональні експлойти для CVE-2025-49113 активно продаються на спеціалізованих хакерських форумах.
Згідно з інформацією з тіньових майданчиків, для успішної атаки потрібні діючі облікові дані користувача. Проте зловмисники пропонують декілька способів отримання доступу:
- Витягування паролів із системних логів
- Застосування методів брутфорсу
- Використання CSRF-атак для компрометації облікових записів
Економічна мотивація атакуючих
Висока цінність цієї уразливості підтверджується готовністю брокерів уразливостей платити до 50 000 доларів за надійні RCE-експлойти для Roundcube. Така вартість відображає потенційний збиток від масштабних атак на критично важливу інфраструктуру.
Історичний контекст загроз
Roundcube неодноразово ставав мішенню для просунутих кіберзлочинних угруповань. У минулому уразливості в цьому поштовому клієнті активно експлуатувалися такими APT-групами:
- APT28 (Fancy Bear) – пов’язана з російськими спецслужбами
- Winter Vivern – спеціалізується на атаках проти урядових структур
- TAG-70 – група, орієнтована на критично важливу інфраструктуру
Рекомендації щодо захисту
Негайне оновлення до останньої версії Roundcube є критично важливим кроком для забезпечення безпеки. Адміністраторам варто також реалізувати додаткові заходи захисту, включаючи моніторинг підозрілої активності, використання веб-файрволів та регулярний аудит безпеки поштових систем.
Ця ситуація наочно демонструє важливість своєчасного застосування оновлень безпеки та необхідність багаторівневого захисту критично важливих систем. В умовах активної експлуатації уразливості та доступності готових експлойтів, зволікання з установкою патчів може призвести до серйозних наслідків для організацій будь-якого масштабу.
