Malware udnytter kritisk sårbarhed i Roundcube-webmail

Eskil Sørensen

06.10.2025 13:57

Over 80.000 Roundcube-servere er sårbare over for fjernafvikling af kode

En ny alvorlig sårbarhed i Roundcube-webmail har ført til angreb, blot få dage efter en patch blev frigivet. Sårbarheden, der har id'et CVE-2025-49113 og CVSS-score på 9.9 gør det muligt for angribere at eksekvere vilkårlig kode på sårbare systemer.

Det skriver Security Week i en artikel i dag.

Ifølge sikkerhedsresearcheren Kirill Firsov, der opdagede fejlen, skyldes problemet en fejl i logikken, der forkert evaluerer variabelnavne, der begynder med et udråbstegn (!). Dette fører til ”session corruption” og ”PHP Object Injection”, hvilket gør det muligt for en angriber at indsætte skadelig kode i en aktiv session.

Sårbarheden har været skjult i over 10 år

Fejlen har eksisteret i Roundcube-versioner fra 1.1.0 til 1.6.10, hvilket betyder, at den har været en latent trussel i over et årti. Den kan udnyttes på standardinstallationer og kræver ingen eksterne afhængigheder, hvilket gør den særligt farlig. Desuden kan firewalls ikke opdage angrebene, hvilket gør det svært at forhindre udnyttelse.

Sårbarheden påvirker også cPanel, Plesk, ISPConfig og andre populære webmail-platforme, hvilket øger risikoen for kompromittering af en lang række systemer.

Eksploitkode til salg på Dark Web

Inden for få dage efter frigivelsen af patches til Roundcube 1.6.11 og 1.5.10 den 1. juni 2025, blev der udviklet eksploitkode, som nu er tilgængelig på det Dark Web. Firsov advarede den 4. juni om, at trusselsaktører allerede sælger udnyttelseskoden, hvilket gør det muligt for cyberkriminelle at angribe uopdaterede systemer.

The Shadowserver Foundation rapporterede i weekenden, at 84.000 Roundcube-instanser stadig var ubeskyttede og synlige på internettet. Den 9. juni var tallet steget til over 85.000, hvilket indikerer, at mange systemer endnu ikke er blevet opdateret.

Selvom udnyttelse af sårbarheden kræver gyldige loginoplysninger, hævder trusselsaktører, der sælger eksploiten, at brute force-angreb eller logudtræk kan bruges til at skaffe adgang.

Relateret angreb: Belarussisk hackergruppe udnytter Roundcube XSS-sårbarhed

Ifølge Security Week CERT Poland har advaret om, at UNC1151, en Belarussisk hackergruppe, udnytter en anden Roundcube-sårbarhed (CVE-2024-42009) i en spear-phishing-kampagne rettet mod tyveri af loginoplysninger.

Denne fejl gør det muligt at eksekvere JavaScript-kode, når en bruger åbner en e-mail, hvilket kan føre til kompromittering af konti. CISA har tilføjet sårbarheden til sin liste over kendte udnyttede sårbarheder og opfordrer til, at den patches senest den 30. juni.

Det anbefales, at organisationer opdaterer Roundcube til version 1.6.11 eller 1.5.10 så hurtigt som muligt.

Læs mere

https://www.securityweek.com/exploited-vulnerability-impacts-over-80000-roundcube-servers/

Sårbarhed