هکرها احتمالاً شروع به بهره‌برداری از آسیب‌پذیری بحرانی CVE-2025-49113 در نرم‌افزار وب‌میل متن‌باز Roundcube کرده‌اند که امکان اجرای کد از راه دور را فراهم می‌کند. این مشکل امنیتی بیش از یک دهه در Roundcube وجود داشته و نسخه‌های 1.1.0 تا 1.6.10 را تحت تأثیر قرار می‌دهد.

این آسیب‌پذیری در اول ژوئن وصله شد، اما مهاجمان تنها چند روز طول کشید تا با مهندسی معکوس، راه‌حل را تحلیل کرده، آسیب‌پذیری را به سلاح تبدیل کنند و شروع به فروش اکسپلویت در انجمن‌های هکری کنند.

Roundcube یکی از محبوب‌ترین راه‌حل‌های وب‌میل است که توسط ارائه‌دهندگان میزبانی معروف مانند GoDaddy، Hostinger، Dreamhost و OVH ارائه می‌شود.

آرماگدون ایمیل

CVE-2025-49113 یک آسیب‌پذیری اجرای کد از راه دور پس از احراز هویت است که امتیاز شدت بحرانی 9.9 از 10 را دریافت کرده و به عنوان “آرماگدون ایمیل” توصیف می‌شود.

این آسیب‌پذیری توسط کیریل فیرسوف، مدیرعامل شرکت امنیت سایبری FearsOff کشف و گزارش شد. او تصمیم گرفت جزئیات فنی را قبل از پایان دوره افشای مسئولانه منتشر کند زیرا اکسپلویت در دسترس قرار گرفته بود.

فیرسوف می‌گوید: “با توجه به بهره‌برداری فعال و شواهد فروش اکسپلویت در انجمن‌های زیرزمینی، معتقدم انتشار تحلیل فنی کامل به نفع مدافعان، تیم‌های آبی و جامعه امنیتی گسترده‌تر است.”

ریشه مشکل امنیتی عدم پاکسازی پارامتر $_GET[‘_from’] است که منجر به deserialize شدن شیء PHP می‌شود. فیرسوف توضیح می‌دهد که وقتی نام متغیر جلسه با علامت تعجب شروع شود، جلسه خراب شده و تزریق شیء امکان‌پذیر می‌شود.

پس از وصله شدن Roundcube، مهاجمان تغییرات را تحلیل کرده، اکسپلویت توسعه دادند و در انجمن هکری تبلیغ کردند. آنها اشاره کردند که برای استفاده نیاز به اطلاعات ورود معتبر است.

با این حال، نیاز به اطلاعات ورود مانع به نظر نمی‌رسد، زیرا مهاجم ارائه‌دهنده اکسپلویت می‌گوید که می‌توانند آن را از لاگ‌ها استخراج کنند یا با حمله brute force به دست آورند. فیرسوف می‌گوید که ترکیب اعتبارنامه‌ها همچنین می‌تواند از طریق جعل درخواست بین‌سایتی (CSRF) به دست آید.

طبق گفته فیرسوف، حداقل یک دلال آسیب‌پذیری تا 50,000 دلار برای اکسپلویت RCE در Roundcube پرداخت می‌کند. محقق ویدیویی منتشر کرده که نحوه بهره‌برداری از آسیب‌پذیری را نشان می‌دهد.

محبوبیت گسترده Roundcube

علیرغم اینکه Roundcube در میان مصرف‌کنندگان کمتر شناخته شده است، بسیار محبوب است. این محبوبیت عمدتاً به دلیل قابلیت سفارشی‌سازی بالا با بیش از 200 گزینه و در دسترس بودن رایگان آن است.

علاوه بر ارائه توسط میزبان‌های وب و بسته‌بندی در پنل‌های کنترل میزبانی وب (cPanel، Plesk)، سازمان‌های متعددی در بخش‌های دولتی، دانشگاهی و فناوری از Roundcube استفاده می‌کنند.

فیرسوف می‌گوید که این برنامه وب‌میل حضور گسترده‌ای دارد به طوری که یک تست‌کننده نفوذ احتمال بیشتری برای یافتن نمونه Roundcube نسبت به پیکربندی نادرست SSL دارد.

با توجه به فراگیر بودن این برنامه، محقق می‌گوید که “سطح حمله بزرگ نیست – صنعتی است.” در واقع، نگاه سریع به موتورهای جستجو برای کشف دستگاه‌ها و خدمات متصل به اینترنت حداقل 1.2 میلیون میزبان Roundcube را نشان می‌دهد.