Roundcube RCE: attività sul dark web indicano attacchi imminenti (CVE-2025-49113)
Con un exploit per una vulnerabilità critica di Roundcube (CVE-2025-49113) in vendita su forum sotterranei e la disponibilità pubblica di un proof-of-concept (PoC), sono attesi attacchi su larga scala — e potrebbero già essere in corso. Secondo la Shadowserver Foundation, il numero di potenziali bersagli è elevato: circa 84.000 installazioni esposte su internet, principalmente in Europa, Asia e Nord America, risultano ancora non aggiornate.
Cos’è Roundcube?
Roundcube è un client email open source basato su web. Funziona su server web standard (generalmente Linux con Apache o Nginx) e richiede PHP e un database come MySQL o PostgreSQL. Una volta configurato per collegarsi a un server IMAP, permette agli utenti di gestire la propria posta elettronica tramite browser.
È molto diffuso tra utenti privati e organizzazioni che gestiscono server email autonomi, come:
- Istituzioni accademiche
- Agenzie governative europee
- Strutture sanitarie
- Provider di hosting
- ONG
La sua popolarità in questi contesti lo rende un bersaglio privilegiato per attacchi di cyberspionaggio, specialmente da parte di attori sponsorizzati da stati.
Dettagli sulla vulnerabilità CVE-2025-49113
CVE-2025-49113 è una vulnerabilità di deserializzazione di oggetti PHP, che può essere sfruttata per ottenere esecuzione di codice da remoto (RCE) sul server vulnerabile, permettendo il completo compromesso del sistema.
Per sfruttarla, un attaccante deve autenticarsi sul server, anche solo con un account utente base.
Versioni vulnerabili:
- Fino alla versione 1.5.9
- Dalla versione 1.6.0 alla 1.6.10
Versioni corrette:
- 1.5.10 e 1.6.11, rilasciate il 1° giugno 2025
La vulnerabilità è stata segnalata privatamente da Kirill Firsov, CEO della società di cybersecurity FearsOff, che inizialmente aveva evitato di rendere pubblici i dettagli tecnici e il PoC.
Tuttavia, una volta pubblicata la patch su GitHub, gli attori malevoli hanno individuato rapidamente la falla e creato un exploit funzionante nel giro di 48 ore. A quel punto, Firsov ha deciso di pubblicare anche il proprio PoC, dichiarando che l’intento era di dare ai difensori pari opportunità e fornire trasparenza tecnica.
Cosa fare?
Gli utenti di Roundcube devono aggiornare immediatamente alle versioni patchate e monitorare attività sospette, come:
- Caricamenti di file
- Sessioni utente anomale
- Altri indicatori di compromissione legati a questo vettore di attacco
Chi usa versioni incluse in soluzioni di terze parti (es. hosting condivisi) dovrebbe attendere gli aggiornamenti dai rispettivi fornitori e applicarli tempestivamente.
Altre minacce collegate
Nel frattempo, il CERT Polska ha segnalato una campagna di spear phishing contro entità polacche, sfruttando una vulnerabilità XSS (CVE-2024-42009). Questo bug consente il furto di email e credenziali attraverso email manipolate.
“In uno degli incidenti analizzati, dopo aver rubato le credenziali, gli attaccanti hanno consultato la casella di posta della vittima, scaricato la rubrica, e in alcuni casi usato l’account per inviare ulteriori email di phishing,” ha riferito il team CERT.
Hanno inoltre osservato che la nuova vulnerabilità CVE-2025-49113, scoperta solo questa settimana, potrebbe essere combinata con altre falle per creare una catena di attacco molto efficace.
