ハッカーたちは、CVE-2025-49113を悪用し始めているようだ。CVE-2025-49113は、広く使用されているオープンソースのウェブメール・アプリケーションRoundcubeに存在する、リモート実行を可能にする重大な脆弱性である。
このセキュリティ問題は10年以上前からRoundcubeに存在しており、Roundcube webmail 1.1.0から1.6.10のバージョンに影響を及ぼしている。6月1日にパッチが適用された。
攻撃者はわずか数日で、修正プログラムをリバース・エンジニアリングし、脆弱性を武器化し、少なくとも1つのハッカー・フォーラムで動作するエクスプロイトを販売し始めた。
Roundcubeは、GoDaddy、Hostinger、Dreamhost、OVHなどの有名なホスティング・プロバイダーのオファーに含まれているため、最も人気のあるウェブメール・ソリューションの1つである。
“電子メールのハルマゲドン”
CVE-2025-49113は、認証後にリモートでコードが実行される(RCE)脆弱性で、深刻度は10点満点中9.9点で、”email armageddon “と呼ばれています。
この脆弱性は、サイバーセキュリティ企業FearsOffのCEOであるKirill Firsov氏によって発見・報告されたもので、Firsov氏は、悪用が可能になったため、責任ある開示期間の終了前に技術的な詳細を公表することを決定した。
「悪用が活発であり、アンダーグラウンドのフォーラムで悪用が販売されている証拠があることを考えると、技術的な内訳を完全に公開することが、防御者、ブルーチーム、そしてより広範なセキュリティ・コミュニティにとって最善の利益であると信じています。
このセキュリティ問題の根底には、$_GET[‘_from’]パラメータのサニタイズの欠如があり、これはPHPオブジェクトのデシリアライズにつながります。
テクニカルレポートの中で Firsov 氏は、セッション変数名の先頭に感嘆符が付くとセッションが破損し、オブジェクトインジェクションが可能になると説明しています。
Roundcubeがパッチを受け取った後、攻撃者はパッチが導入した修正を分析し、エクスプロイトを開発し、ハッカーフォーラムでそれを宣伝した。
しかし、ログイン認証情報の必要性は、エクスプロイトを提供する脅威行為者が、ログからそれを抽出することができる、あるいはブルートフォースすることができると述べているため、抑止力にはならないようだ。
Firsov氏によると、認証情報の組み合わせは、クロスサイトリクエストフォージェリ(CSRF)によって取得することも可能だという。
source:キリル・フィルソフ
Firsov氏によると、少なくともある脆弱性ブローカーは、RoundcubeのRCEエクスプロイトに対して最高5万ドルを支払っているという。
研究者は、この脆弱性がどのように悪用されるかを示すビデオを公開している。なお、研究者はデモの中で脆弱性識別子CVE-2025-48745を使用しているが、これは現在CVE-2025-49113の重複候補として却下されている。
消費者の間ではあまり知られていないアプリケーションであるにもかかわらず、Roundcube は非常に人気があり、その主な理由は、200 以上のオプションで高度にカスタマイズ可能であり、自由に利用できるためです。
ホスティング・プロバイダーが提供したり、ウェブ・ホスティング・コントロール・パネル(cPanel、Plesk)にバンドルされている以外に、政府、学術、技術分野の数多くの組織がRoundcubeを使用している。
Firsov氏はまた、このウェブメール・アプリは、ペンテスターがSSLの誤設定よりもRoundcubeのインスタンスを見つける可能性の方が高いほど、幅広く存在していると言う。
このアプリケーションのユビキタス性を考慮すると、研究者は「攻撃対象は大きくない。
実際、インターネットに接続されたデバイスやサービスを発見するための検索エンジンをざっと見てみると、少なくとも120万台のRoundcubeホストがあることがわかる。
.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:10px 20px; width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; text-align: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px; width: 100%; } .ia_button { width: 100%; } .
ITチームが手作業によるパッチ管理をやめる理由
かつてはパッチ適用といえば、複雑なスクリプト、長時間の作業、終わりのない消火訓練が必要でした。今は違います。
この新しいガイドでは、Tines氏が最新のIT組織が自動化によってどのようにレベルアップしているかを解説している。複雑なスクリプトは必要ありません。
Comments