Alert: Podatność Roundcube

9 czerwca 2025

Roundcube Webmail to jedno z najpopularniejszych otwartoźródłowych rozwiązań do obsługi poczty elektronicznej, używane przez miliony użytkowników i wdrożeń hostingowych na całym świecie. Jednak 2 czerwca 2025 roku ujawniono krytyczną podatność śledzoną jako CVE-2025-49113, która pozwala na wykonanie zdalnego kodu po uwierzytelnieniu (Post-Auth RCE) za pomocą PHP Object Deserialization. Błąd ten istnieje w projekcie od około dziesięciu lat i dotyczy wszystkich wersji Roundcube przed 1.5.10 oraz 1.6.x przed 1.6.11.

Opis podatności CVE-2025-49113

Podatność wynika z braku walidacji parametru _from przekazywanego przez URL w pliku program/actions/settings/upload.php. Złośliwy, uwierzytelniony użytkownik może przesłać zmodyfikowany obiekt PHP, który zostanie poddany deserializacji bez odpowiedniej kontroli, co prowadzi do wykonania dowolnego kodu na serwerze. CVSSv3 nadaje tej podatności ocenę 9.9/10, co oznacza poziom krytyczny (Critical).

Affected Versions

  • Roundcube Webmail 1.6.x do 1.6.10 włącznie
  • Roundcube Webmail 1.5.x do wersji 1.5.9 włącznie

Sposób działania exploitów

  1. Uwierzytelnienie – atakujący musi posiadać prawidłowe konto użytkownika.
  2. Przygotowanie złośliwego obiektu – modyfikacja serialized PHP object w taki sposób, aby podczas deserializacji wywołał on metody umożliwiające wykonanie systemowych poleceń.
  3. Przesłanie obiektu – wykorzystanie endpointu upload.php i parametru _from do przesłania payloadu.
  4. Wykonanie kodu – serwer, deserializując obiekt, wykonuje złośliwe metody, co pozwala uzyskać pełnię kontroli nad systemem.

W środowiskach Plesk exploit może być szczególnie groźny, bowiem Roundcube jest często dostarczany jako wbudowana usługa webmailowa – Plesk opublikował własną notę ostrzegawczą o wpływie tej podatności na instalacje Plesk for Linux.

Poziom zagrożenia i aktywność exploitów

  • Podatność istniała od dekady, co oznacza, że wiele instalacji może być niezałatanych.
  • Wykazano już aktywne próby wykorzystania exploita oraz udostępniono proof-of-concept (PoC) w undergroundowych forach.
  • Poprzednie podatności Roundcube były atakowane przez grupy APT, m.in. APT28 i Winter Vivern, co wskazuje na zainteresowanie państwowych aktorów zagrożeń

Zalecenia dotyczące zabezpieczenia

  1. Aktualizacja – niezwłocznie zaktualizować Roundcube do wersji 1.6.11 lub 1.5.10 LTS, gdzie podatność została załatana.
  2. Monitorowanie logów – zwrócić uwagę na nietypowe żądania HTTP do upload.php oraz niecodzienne błędy PHP, które mogą wskazywać na próby deserializacji.
  3. Zastosowanie WAF – dodatkowe reguły w Web Application Firewall, blokujące modyfikację parametrów związanych z deserializacją.
  4. Segmentacja i ograniczanie uprawnień – minimalizacja uprawnień procesów PHP-FPM/Apache, aby nawet w przypadku udanego RCE atakujący miał ograniczony zasięg działania.

Podsumowanie

CVE-2025-49113 to krytyczna podatność w Roundcube Webmail umożliwiająca post-autoryzacyjne wykonanie kodu poprzez PHP Object Deserialization. Zagrożenie jest realne, z licznymi dowodami na aktywne próby ataków. Kluczowym krokiem obronnym jest bezzwłoczna aktualizacja aplikacji do wersji 1.6.11 lub 1.5.10 LTS, a także wdrożenie dobrych praktyk związanych z monitorowaniem i ochroną warstwy aplikacji.

Previous Post Next Post

Leave a Comment