Аналітики з кібербезпеки виявили масштабну загрозу, яка торкається 84 925 активних інсталяцій популярної веб-поштової системи Roundcube Webmail. За даними дослідження The Shadowserver Foundation, значна кількість серверів залишається вразливою до критичної проблеми CVE-2025-49113, попри те, що виправлення доступне вже кілька місяців.
Аналіз критичної уразливості з максимальним рейтингом
Уразливість CVE-2025-49113 отримала критичний рейтинг 9,9 балів із 10 за шкалою CVSS, що свідчить про надзвичайно високий рівень ризику. Найбільш тривожним фактором є те, що ця проблема безпеки існувала в кодовій базі Roundcube Webmail понад десять років, впливаючи на всі версії від 1.1.0 до 1.6.10.
Кирило Фірсов, керівник компанії FearsOff, який ідентифікував цю уразливість, оприлюднив технічні деталі на початку червня 2025 року після того, як експлойт став доступним у відкритому доступі. Основна проблема полягає в неналежній валідації параметра $_GET[‘_from’], що призводить до небезпечної десеріалізації PHP-об’єктів.
Механізм експлуатації та поточні загрози
Технічна сутність уразливості полягає в тому, що коли ім’я змінної сесії починається зі знаку оклику, відбувається порушення сесії, створюючи можливість для ін’єкції шкідливих об’єктів. Хоча для успішної експлуатації CVE-2025-49113 потрібна автентифікація, зловмисники застосовують різноманітні методи отримання облікових даних:
• Витягування інформації з системних логів
• Атаки методом грубої сили (брутфорс)
• Використання CSRF-атак для компрометації облікових записів
• Соціальна інженерія та фішингові кампанії
Особливу стурбованість викликає факт активного поширення публічних експлойтів на підпільних форумах, а кіберзлочинна група UNC1151 вже почала використовувати цю уразливість у своїх фішингових операціях.
Географія та масштаб загрози
Roundcube Webmail є одним із найпопулярніших рішень для корпоративної та приватної електронної пошти. Його використовують провідні хостинг-провайдери, зокрема GoDaddy, Hostinger, Dreamhost та OVH, а також інтегрують у панелі управління cPanel і Plesk.
Дослідження показує, що в мережі функціонує понад 1,2 мільйона інсталяцій Roundcube Webmail. Найбільша концентрація вразливих систем спостерігається в таких країнах:
• США — 19 500 інсталяцій
• Індія — 15 500 інсталяцій
• Німеччина — 13 600 інсталяцій
• Франція — 3 600 інсталяцій
• Канада — 3 500 інсталяцій
Стратегії захисту та рекомендації щодо оновлення
Виправлення для CVE-2025-49113 було випущено 1 червня 2025 року. Системним адміністраторам настійно рекомендується негайно оновити системи до захищених версій 1.6.11 або 1.5.10.
Для організацій, які з технічних причин не можуть виконати оновлення негайно, фахівці з кібербезпеки рекомендують застосувати наступні тимчасові заходи захисту:
• Обмеження доступу до веб-пошти через фаєрволи
• Вимкнення функції завантаження файлів
• Впровадження додаткового захисту від CSRF-атак
• Блокування потенційно небезпечних PHP-функцій
• Посилений моніторинг системних логів для виявлення ознак експлуатації
Вплив на індустрію кібербезпеки
Цей інцидент підкреслює критичну важливість регулярного аудиту безпеки програмного забезпечення та своєчасного застосування оновлень. Факт існування уразливості протягом десяти років демонструє необхідність більш ретельного аналізу застарілого коду в популярних відкритих рішеннях.
Організаціям, які використовують Roundcube Webmail у критично важливих процесах, слід розглянути можливість впровадження додаткових рівнів захисту, включаючи багатофакторну автентифікацію, сегментацію мережі та регулярне резервне копіювання даних. Активне використання цієї уразливості кіберзлочинцями вимагає негайних дій від усіх системних адміністраторів для запобігання потенційним компрометаціям та витокам конфіденційної інформації.
