84 500 уязвимых инстансов — хакеры уже знают, куда бить, вопрос лишь во времени
NewsMakerПочтовый сервер, которому доверяло полмира, оставался беззащитным на протяжении десятилетия.
Критическая уязвимость CVE-2025-49113 в Roundcube, одной из самых популярных веб-почтовых платформ с открытым исходным кодом, оказалась открытой для атак в более чем 84 000 инсталляций по всему миру. Проблема затрагивает версии от 1.1.0 до 1.6.10 включительно — это более десяти лет разработок и обновлений.
Уязвимость была обнаружена и раскрыта исследователем в области безопасности Кириллом Фирсовым. Она заключается в отсутствии должной фильтрации значения параметра _from, передаваемого через $_GET, что позволяет злоумышленнику инициировать десериализацию объектов в PHP. Это открывает путь к повреждению сессии, если её ключи начинаются с восклицательного знака — особенность, на которой базируется техника атаки.
Проблема была устранена 1 июня 2025 года с выходом версий Roundcube 1.6.11 и 1.5.10. Однако уже вскоре после выхода обновлений злоумышленники проанализировали изменения, быстро разработали эксплойт и начали продавать его на подпольных форумах. Несмотря на то, что для использования уязвимости требуется авторизация, злоумышленники утверждают, что могут получать доступ с помощью атак CSRF, анализа логов или перебора паролей.
Фирсов опубликовал подробный технический разбор уязвимости у себя в блоге, с целью помочь администраторам серверов защититься от возможной эксплуатации. Учитывая широкий масштаб распространения Roundcube, риск атак оценён как крайне высокий.
Платформа Roundcube активно используется в сфере хостинга (в том числе на платформах GoDaddy, Hostinger и OVH), а также в учреждениях образования, госорганах и технологических компаниях. По данным The Shadowserver Foundation, которая занимается мониторингом угроз, по состоянию на 8 июня 2025 года в интернете открыто 84 925 уязвимых инсталляций.
Наибольшее количество таких установок зафиксировано в США (19 500), Индии (15 500), Германии (13 600), Франции (3 600), Канаде (3 500) и Великобритании (2 400). При этом реальное число уязвимых экземпляров может быть ещё выше, если учесть закрытые сети и частные инсталляции.
Учитывая, что уязвимость даёт потенциальный доступ к электронным перепискам, учётным данным и другим чувствительным данным, сложившаяся ситуация представляет собой серьёзную угрозу информационной безопасности.
Системным администраторам настоятельно рекомендовано как можно скорее перейти на версии 1.6.11 или 1.5.10. В случае невозможности обновления предлагается временно ограничить доступ к веб-почте, отключить возможность загрузки файлов, активировать защиту от CSRF-атак , заблокировать выполнение потенциально опасных PHP-функций и вести мониторинг признаков возможной эксплуатации.
На данный момент неизвестно, применяются ли уже эксплойты для CVE-2025-49113 в реальных атаках, однако исходя из имеющейся информации, можно ожидать, что массовые попытки эксплуатации не заставят себя ждать.
Критическая уязвимость CVE-2025-49113 в Roundcube, одной из самых популярных веб-почтовых платформ с открытым исходным кодом, оказалась открытой для атак в более чем 84 000 инсталляций по всему миру. Проблема затрагивает версии от 1.1.0 до 1.6.10 включительно — это более десяти лет разработок и обновлений.
Уязвимость была обнаружена и раскрыта исследователем в области безопасности Кириллом Фирсовым. Она заключается в отсутствии должной фильтрации значения параметра _from, передаваемого через $_GET, что позволяет злоумышленнику инициировать десериализацию объектов в PHP. Это открывает путь к повреждению сессии, если её ключи начинаются с восклицательного знака — особенность, на которой базируется техника атаки.
Проблема была устранена 1 июня 2025 года с выходом версий Roundcube 1.6.11 и 1.5.10. Однако уже вскоре после выхода обновлений злоумышленники проанализировали изменения, быстро разработали эксплойт и начали продавать его на подпольных форумах. Несмотря на то, что для использования уязвимости требуется авторизация, злоумышленники утверждают, что могут получать доступ с помощью атак CSRF, анализа логов или перебора паролей.
Фирсов опубликовал подробный технический разбор уязвимости у себя в блоге, с целью помочь администраторам серверов защититься от возможной эксплуатации. Учитывая широкий масштаб распространения Roundcube, риск атак оценён как крайне высокий.
Платформа Roundcube активно используется в сфере хостинга (в том числе на платформах GoDaddy, Hostinger и OVH), а также в учреждениях образования, госорганах и технологических компаниях. По данным The Shadowserver Foundation, которая занимается мониторингом угроз, по состоянию на 8 июня 2025 года в интернете открыто 84 925 уязвимых инсталляций.
Наибольшее количество таких установок зафиксировано в США (19 500), Индии (15 500), Германии (13 600), Франции (3 600), Канаде (3 500) и Великобритании (2 400). При этом реальное число уязвимых экземпляров может быть ещё выше, если учесть закрытые сети и частные инсталляции.
Учитывая, что уязвимость даёт потенциальный доступ к электронным перепискам, учётным данным и другим чувствительным данным, сложившаяся ситуация представляет собой серьёзную угрозу информационной безопасности.
Системным администраторам настоятельно рекомендовано как можно скорее перейти на версии 1.6.11 или 1.5.10. В случае невозможности обновления предлагается временно ограничить доступ к веб-почте, отключить возможность загрузки файлов, активировать защиту от CSRF-атак , заблокировать выполнение потенциально опасных PHP-функций и вести мониторинг признаков возможной эксплуатации.
На данный момент неизвестно, применяются ли уже эксплойты для CVE-2025-49113 в реальных атаках, однако исходя из имеющейся информации, можно ожидать, что массовые попытки эксплуатации не заставят себя ждать.