Kritische Sicherheitslücke in Roundcube: Hacker verkaufen Exploit

LONDON (IT BOLTWISE) – Eine kritische Sicherheitslücke in der weit verbreiteten Open-Source-Webmail-Anwendung Roundcube sorgt derzeit für Aufsehen in der IT-Sicherheitsbranche. Die Schwachstelle, die als CVE-2025-49113 bekannt ist, ermöglicht es Angreifern, nach der Authentifizierung schädlichen Code auszuführen.

Die Sicherheitslücke in Roundcube, die seit über einem Jahrzehnt besteht, betrifft die Versionen 1.1.0 bis 1.6.10 der Webmail-Anwendung. Ein Patch wurde am 1. Juni veröffentlicht, doch es dauerte nur wenige Tage, bis Angreifer die Änderungen analysierten, die Schwachstelle ausnutzten und einen funktionierenden Exploit auf einem Hackerforum zum Verkauf anboten.

Roundcube ist eine der beliebtesten Webmail-Lösungen und wird von bekannten Hosting-Anbietern wie GoDaddy, Hostinger, Dreamhost und OVH angeboten. Die Schwachstelle, die als „E-Mail-Armageddon“ bezeichnet wird, erhielt eine kritische Schweregradbewertung von 9,9 von 10 Punkten. Sie wurde von Kirill Firsov, dem CEO des Cybersicherheitsunternehmens FearsOff, entdeckt und gemeldet.

Firsov entschied sich, die technischen Details vor dem Ende der verantwortungsvollen Offenlegungsfrist zu veröffentlichen, da ein Exploit bereits verfügbar war. Er betonte, dass es im Interesse der Verteidiger, Blue Teams und der breiteren Sicherheitsgemeinschaft sei, eine vollständige technische Analyse zu veröffentlichen, jedoch ohne vollständigen Proof of Concept.

Das Sicherheitsproblem liegt in der fehlenden Bereinigung des $_GET[‘from’]-Parameters, was zu einer PHP-Objekt-Deserialisierung führt. In seinem technischen Bericht erklärt Firsov, dass die Sitzung beschädigt wird und eine Objektinjektion möglich ist, wenn ein Ausrufezeichen den Namen einer Sitzungsvariablen einleitet.

Nachdem Roundcube einen Patch erhalten hatte, analysierten Angreifer die eingeführten Änderungen, entwickelten einen Exploit und bewarben ihn in einem Hackerforum. Ein funktionierendes Login ist erforderlich, doch dies scheint kein Hindernis zu sein, da der Bedrohungsakteur angibt, dass die Anmeldedaten aus den Protokollen extrahiert oder durch Brute-Force ermittelt werden können.

Firsov weist darauf hin, dass die Kombination von Anmeldedaten auch durch Cross-Site-Request-Forgery (CSRF) erlangt werden könnte. Mindestens ein Schwachstellenhändler zahlt bis zu 50.000 US-Dollar für einen RCE-Exploit in Roundcube.

Obwohl Roundcube unter Verbrauchern weniger bekannt ist, ist es aufgrund seiner hohen Anpassbarkeit und der Verfügbarkeit von über 200 Optionen sehr beliebt. Neben der Bereitstellung durch Hosting-Anbieter und der Integration in Webhosting-Kontrollpanels wie cPanel und Plesk nutzen zahlreiche Organisationen in den Bereichen Regierung, Wissenschaft und Technologie Roundcube.

Firsov betont, dass diese Webmail-Anwendung so weit verbreitet ist, dass ein Pentester eher auf eine Roundcube-Instanz als auf eine SSL-Fehlkonfiguration stößt. Angesichts der Allgegenwärtigkeit der Anwendung sagt der Forscher, dass die Angriffsfläche nicht groß ist – sie ist industriell.

Eine schnelle Suche in Suchmaschinen, die internetverbundene Geräte und Dienste entdecken, zeigt mindestens 1,2 Millionen Roundcube-Hosts. Die Automatisierung moderner IT-Organisationen ermöglicht es, Patches schneller zu implementieren, den Aufwand zu reduzieren und sich auf strategische Arbeiten zu konzentrieren, ohne komplexe Skripte zu benötigen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!