出典: Mircea Maties via Shutterstock
Roundcubeウェブメールにおける10年以上前の重大なリモートコード実行脆弱性に関連する脅威が、最近急激に増加しています。このバグの概念実証(PoC)コードが脅威アクターに簡単に利用可能になっているためです。
このバグはCVE-2025-49113として特定され、CVSSの重大度スコアが9.9とほぼ最大であり、Roundcubeのバージョン1.1.0から1.6.10まで、いくつかのデフォルト設定を含めて影響を及ぼします。
隠されたバグ
この脆弱性は、送信者のアイデンティティを管理するためのRoundcubeの画像アップロード機能におけるパラメータの不十分なサニタイズから生じています — $_GET[‘_from’] パラメータです。このバグは少なくとも10年間ソフトウェア内に隠れていました。
この脆弱性により、認証された攻撃者は特別にフォーマットされた”_from”ペイロードを持つ悪意のあるURLを作成し、PHPのオブジェクト再構築プロセスを悪用して任意のコードを実行できます。このバグをうまく悪用した攻撃者は、データ盗難、バックドアのインストール、または横方向のネットワーク攻撃のためにRoundcubeインスタンスをホストするサーバーを完全に制御する可能性があります。
脅威を軽減するために、組織はバージョン1.6.11または1.5.10にアップグレードする必要があります。オープンソースのメールクライアントのメンテナーは、Fearsoffのセキュリティ研究者であるKirill Firsovが問題を報告した後、6月1日にこれらのバージョンをリリースしました。
関連:GitHub: コードの出所がサプライチェーン攻撃を防ぐ方法
Firsovは、影響を受けるRoundcubeバージョンを使用している組織や個人に、この問題を優先するよう助言しました。「まだパッチを適用していない場合は、直ちに適用してください」とFirsovはブログ投稿で書いており、脆弱性の完全な技術的詳細とそのPoCを提供しました。Firsovは、攻撃者がCVE-2025-49113のパッチを迅速にリバースエンジニアリングし、48時間以内に武器化した後、彼の発見の完全な詳細を公開することを決定したと述べました。「この脆弱性は今や知られており、悪用可能であり、販売されています。この攻撃ベクトルに関連するファイルアップロード、セッション活動、その他の指標を監視することを検討してください」とFirsovは書いています。
CVE-2025-49113は技術的には認証後の脆弱性であり、攻撃者がそれを悪用するためには有効なログイン資格情報が必要です。しかし、実際には、この要件は強い障壁ではないかもしれません。なぜなら、攻撃者はしばしば資格情報を盗んだり推測したりする複数の方法を持っているからです。特にセキュリティが不十分な環境では。このため、CVE-2025-49113からの現実世界のリスクは、一部の人が想定するよりも高い可能性があります。
すでに、例えば、ベラルーシ政府が支援する可能性のある脅威アクター — UNC1151 — は、ポーランドのRoundcubeユーザーを標的にした資格情報盗難キャンペーンを開始しており、以前に公開されたソフトウェアの脆弱性であるCVE-2024-42009を悪用しています。ポーランドのCERTは先週、キャンペーンに関する勧告を発行しましたが、UNC1151が新たに公開されたCVE-2025-49113を悪用しようとしていることを直接的に結びつけてはいません。しかし、CVE-2025-49113をCVE-2024-42009のようなアカウント侵害の脆弱性と組み合わせることで、「非常に効果的な攻撃チェーン」が作成されるとCERTポーランドは警告しています。
関連:システム全滅を狙ったユーティリティに偽装した毒入りnpmパッケージ
潜在的に広範な露出
インターネットの脅威活動を監視する非営利団体ShadowServer財団は、世界中で攻撃に対して脆弱である可能性が高い85,000以上の未パッチのRoundcubeウェブメールインスタンスを発見したと報告しました。その大部分はヨーロッパにあり、次いでアジアと北アメリカにあります。
Roundcubeは、個人、企業、GoDaddyやDreamhostなどのホスティングプロバイダーがブラウザを介してメールにアクセスするために使用する無料のオープンソースウェブメールクライアントです。主要な商業プラットフォームほど支配的ではありませんが、Roundcubeは比較的大きなフットプリントを持ち、その使いやすいインターフェースとプライバシーに配慮した機能で人気があります。近年、Roundcubeウェブメールは、クロスサイトスクリプティングの欠陥やリモートコード実行の欠陥など、数多くの重大な脆弱性の公開を経験しています。
特に注目すべき欠陥には、CVE-2023-43770があり、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、ロシアの国家アクターを含む広範な悪用活動を受けて、既知の悪用された脆弱性(KEV)カタログに追加しました。攻撃者がこの欠陥を悪用した最新の事例は、「Operation RoundPress」というウクライナの組織を標的にしたサイバー諜報活動キャンペーンです。もう一つの例は、CVE-2023-5631で、CISA KEVに複数のキャンペーンで使用されたために追加されました。その中には、ヨーロッパの政府や軍を標的にしたWinter Vivernというキャンペーンも含まれています。同様の理由でKEVカタログに追加された最近のRoundcubeの脆弱性には、CVE-2024-37383があります。
関連:Gartner: セキュリティチームがハイプを機会に変える方法
「攻撃者はRoundcubeを狙います。なぜなら、それは学校、政府、さらにはお気に入りのウェブホストでも使用されており、多くの人が更新を忘れているからです」とSlashNext Email Security+のフィールド最高技術責任者(CTO)であるStephen Kowskiは言います。多くの場所にバンドルされているため、攻撃者は未パッチのシステムをたくさん見つけることができると彼は言います。「この新しいバグは、ログインさえできれば、たとえ基本的なアカウントであっても、コードを実行できるため、パッチが迅速に適用されない場合、サーバーを乗っ取るのが非常に簡単になります。」
CofenseのインテリジェンスマネージャーであるMax Gannonは、Roundcubeを使用している組織は懸念すべきだが、攻撃者が認証される必要があるという事実は、ある程度の緩和要因であると述べています。「CVEの悪用には認証が必要であることを指摘することが重要です。したがって、会社がすでにベストプラクティスを遵守している場合、問題を緩和する時間があるはずです」とGannonは言います。「もちろん、そうでない場合は、すぐに取り組むべきことです。」
翻訳元: https://www.darkreading.com/application-security/poc-code-escalates-roundcube-vuln-threat