Miliony serwerów na całym świecie mogły być od dekady podatne na przejęcie przez cyberprzestępców. Wszystko za sprawą krytycznej luki bezpieczeństwa odkrytej w popularnym systemie poczty internetowej Roundcube, używanym przez setki dostawców hostingu oraz administratorów serwerów. Luka pozostawała niezauważona przez co najmniej 10 lat, a jej potencjalne skutki mogą być katastrofalne — ostrzegają eksperci.
Zagrożenie odkrył badacz bezpieczeństwa Kirill Firsov, który ujawnił, że we wszystkich wersjach Roundcube do 1.5.10 i 1.6.11 istnieje luka pozwalająca na zdalne wykonanie dowolnego kodu. Innymi słowy — osoba mająca dostęp do konta e-mail mogła z łatwością przejąć kontrolę nad całym serwerem, na którym działa Roundcube.
Choć Firsov jako pierwszy zgłosił błąd, kilka innych niezależnych zespołów badawczych również natrafiło na tę samą podatność w zbliżonym czasie, co sugeruje, że luka mogła być już wcześniej znana niektórym środowiskom. Co więcej, sam Firsov upublicznił demonstracyjny exploit, czyli narzędzie pokazujące, jak wykorzystać lukę w praktyce.
Skala zagrożenia: 53 miliony hostów
Według szacunków badaczy, luka może dotyczyć nawet 53 milionów aktywnych hostów na całym świecie. „To nie jest coś, co widzimy codziennie, ale też nie możemy udawać, że to wyjątkowy przypadek” — mówi Alexander Zonov, ekspert ds. bezpieczeństwa informacji z SEQ. „Fakt, że luka przetrwała niezauważona przez dekadę, budzi pytania o jakość audytów bezpieczeństwa. Ale najważniejsze teraz jest szybkie łatanie systemów”.
Błąd ukryty w kodzie źródłowym od dekady
Luka została oznaczona jako CVE-2025-49113 i otrzymała 9,9 punktów w 10-punktowej skali CVSS, co klasyfikuje ją jako zagrożenie niemal maksymalnego poziomu. Źródło problemu leży w niewłaściwej walidacji parametru „_from” w adresie URL funkcji upload.php, odpowiedzialnej za ustawienia programu Roundcube. W rezultacie możliwa była deserializacja niezaufanych obiektów PHP, co otwierało drzwi do uruchamiania złośliwego kodu.
Atak może zostać przeprowadzony przez uwierzytelnionego użytkownika, co oznacza, że wystarczy dostęp do skrzynki e-mail — np. uzyskany w wyniku phishingu lub użycia wykradzionych danych.
Zagrożenie dla użytkowników popularnych paneli hostingowych
Firsov zaznacza, że zagrożeni są nie tylko administratorzy świadomi korzystania z Roundcube. Ten system jest domyślnie instalowany w wielu popularnych panelach administracyjnych, takich jak Plesk, cPanel, ISPConfig czy DirectAdmin. Użytkownicy mogą nie zdawać sobie sprawy z jego obecności — i z potencjalnego ryzyka.
„Jeśli Twój serwer ma otwarty którykolwiek z portów: 2083, 2086, 2087 lub 2096, prawdopodobnie jesteś narażony” — ostrzega badacz. W praktyce oznacza to, że setki tysięcy serwerów hostingowych — w tym małych dostawców i firm korzystających z własnej infrastruktury — mogą być obecnie celem ataków.
Reakcje i zalecenia: aktualizować natychmiast
Na szczęście po ujawnieniu podatności deweloperzy Roundcube zareagowali szybko i wydali stosowne poprawki. Firma Positive Technologies potwierdziła skuteczność exploitów i zarekomendowała pilne wdrożenie aktualizacji do wersji zawierających łatki bezpieczeństwa.
Specjaliści ds. cyberbezpieczeństwa apelują do administratorów, by nie czekali z aktualizacją. „Ten typ luki to wymarzona okazja dla cyberprzestępców. Jeśli ktoś wcześniej jej nie wykorzystał, to z pewnością zrobi to teraz, gdy exploit jest publiczny” — ostrzega Zonov..
Pokaż / Dodaj komentarze do: Krytyczna luka w popularnym systemie poczty. Niemal maksymalne zagrożenie dla serwerów