Odkryto lukę, która przez ostatnią dekadę mogła narażać miliony serwerów pocztowych na przejęcie przez cyberprzestępców. Problem dotyczy Roundcube – popularnego systemu poczty internetowej używanego przez setki dostawców hostingu na całym świecie. Co gorsza, luka pozostawała niezauważona przez co najmniej 10 lat.
Jak poważne jest zagrożenie?
To naprawdę duży problem. Luka otrzymała ocenę aż 9,9 punktów w 10-punktowej skali CVSS. To oznacza, że jest to zagrożenie niemal maksymalnego poziomu.
Odkrył ją badacz bezpieczeństwa Kirill Firsov. „To nie jest coś, co widzimy codziennie” – mówi Alexander Zonov, ekspert ds. bezpieczeństwa informacji. „Fakt, że luka przetrwała niezauważona przez dekadę, budzi pytania o jakość audytów bezpieczeństwa”.
Według szacunków badaczy, problem może dotyczyć nawet 53 milionów aktywnych hostów na całym świecie. To gigantyczna liczba. Wyobraź sobie – każdy z tych serwerów może być potencjalnie przejęty przez hakerów.
Co to znaczy dla zwykłego użytkownika?
Możesz się zastanawiać – jak to mnie dotyczy? Otóż bardzo bezpośrednio. Roundcube to system, który pozwala czytać pocztę przez przeglądarkę internetową. Jest instalowany domyślnie w wielu popularnych panelach hostingowych.
Jeśli korzystasz z hostingu, który ma otwarte porty 2083, 2086, 2087 lub 2096 – prawdopodobnie jesteś narażony. Nie musisz nawet wiedzieć, że używasz Roundcube. System może być zainstalowany bez twojej wiedzy.
Zagrożeni są użytkownicy popularnych paneli jak Plesk, cPanel, ISPConfig czy DirectAdmin. To oznacza setki tysięcy serwerów hostingowych – od małych dostawców po duże firmy.
Jak działa ten atak?
Haker potrzebuje tylko dostępu do skrzynki e-mail. To może brzmi jak dużo, ale w praktyce nie jest to trudne. Dane do logowania można wykraść przez:
- Phishing (fałszywe strony logowania)
- Wycieki danych z innych serwisów
- Proste zgadywanie haseł
Po uzyskaniu dostępu do konta e-mail, cyberprzestępca może przejąć kontrolę nad całym serwerem. Problem leży w niewłaściwej walidacji parametru „_from” w pliku upload.php.
Brzmi skomplikowanie? W uproszczeniu: system nie sprawdza poprawnie pewnych danych, które wysyła użytkownik. Haker może w te dane wstrzyknąć złośliwy kod i uruchomić go na serwerze.
Kto już wykorzystuje tę lukę?
Niestety, hakerzy już o tym wiedzą. Kirill Firsov potwierdził, że exploit – czyli narzędzie do wykorzystania luki – jest już sprzedawany na hakerskich forach. „Ta luka jest już znana, można ją wykorzystać i jest sprzedawana” – ostrzega badacz.
Co więcej, za exploit na Roundcube brokerzy podatności płacą nawet do 50 000 dolarów. To pokazuje, jak cenne są tego typu luki dla cyberprzestępców.
Grupy szpiegowskie APT28 i Winter Vivern już wcześniej atakowały Roundcube. Wykorzystywały inne luki do kradzieży danych logowania i szpiegowania wrażliwej korespondencji. Teraz mają jeszcze potężniejsze narzędzie.
Co trzeba zrobić natychmiast?
Jeśli administrujesz serwerem – aktualizuj Roundcube już dziś! Deweloperzy wydali poprawki w wersjach 1.6.11 i 1.5.10 LTS.
„Jeśli ktoś wcześniej tej luki nie wykorzystał, to z pewnością zrobi to teraz, gdy exploit jest publiczny” – ostrzega Zonov.
Jeżeli korzystasz z hostingu, skontaktuj się z dostawcą. Zapytaj, czy używają Roundcube i czy system jest już zaktualizowany. Nie czekaj – każda godzina zwłoki zwiększa ryzyko.
Dlaczego luka była tak długo ukryta?
Problem istniał w kodzie źródłowym od dekady. Luka została oznaczona jako CVE-2025-49113. Źródło problemu leży w funkcji upload.php, odpowiedzialnej za ustawienia programu.
Jak to możliwe, że nikt nie zauważył tego przez 10 lat? To pokazuje, jak trudne jest znalezienie wszystkich błędów w skomplikowanym oprogramowaniu. Czasami najgroźniejsze luki ukrywają się w pozornie niewinnych fragmentach kodu.
Co ciekawe, kilka niezależnych zespołów badawczych natrafiło na tę lukę w zbliżonym czasie. To sugeruje, że mogła być już wcześniej znana niektórym środowiskom.
Reakcje branży
Positive Technologies potwierdziła skuteczność exploitów. Firma zarekomendowała pilne wdrożenie aktualizacji do bezpiecznych wersji.
Firma FearsOff, która odkryła lukę, opisała ją jako „email armageddon”. To dosadne określenie pokazuje skalę zagrożenia.
„Ten typ luki to wymarzona okazja dla cyberprzestępców” – ostrzegają specjaliści. Po ujawnieniu szczegółów technicznych ataki mogą znacznie się nasilić.
