روش اکسپلویت حیاتی برای Roundcube Webmail توسط هکرها
هکرها بهاحتمال زیاد بهرهبرداری از آسیبپذیری بحرانی CVE-2025-49113 در Roundcube را آغاز کردهاند؛ این آسیبپذیری امکان اجرای کد از راه دور را فراهم میکند.
این آسیبپذیری امنیتی که بیش از یک دهه در Roundcube وجود داشته، نسخههای ۱٫۱٫۰ تا ۱٫۶٫۱۰ از Roundcube Webmail را تحتتأثیر قرار میدهد و وصله امنیتی آن در تاریخ ۱ ژوئن منتشر شده است.
مهاجمان تنها ظرف چند روز موفق به Reverse Engineer کردن وصله، Weaponize کردن آسیبپذیری، و فروش یک Exploit فعال در حداقل یک Hacker Forum شدند.
Roundcube یکی از پرکاربردترین راهکارهای Webmail محسوب میشود، چرا که در بستههای ارائهشده توسط شرکتهای Hosting معروفی مانند GoDaddy، Hostinger، Dreamhost و OVH قرار دارد.
Email Armageddon
آسیبپذیری CVE-2025-49113 از نوع Post-Authentication Remote Code Execution (RCE) بوده و با نمره Critical Severity Score معادل ۹.۹ از ۱۰ طبقهبندی شده و توسط پژوهشگران با عنوان “Email Armageddon” توصیف شده است.
این نقص امنیتی توسط Kirill Firsov، مدیرعامل شرکت امنیت سایبری FearsOff کشف و گزارش شده است. وی تصمیم گرفت جزئیات فنی این آسیبپذیری را پیش از پایان Responsible Disclosure Period منتشر کند، چرا که Exploit عملیاتی آن پیش از موعد افشا شده بود.
Firsov اعلام کرد:
«با توجه به بهرهبرداری فعال و شواهد مربوط به فروش اکسپلویت در فرومهای زیرزمینی، معتقدم به نفع تیمهای دفاعی، تیمهای Blue Team و جامعه بزرگتر امنیت است که تحلیل فنی کامل منتشر شود—البته فعلاً بدون ارائه PoC کامل.»
منشأ آسیبپذیری
ریشه این آسیبپذیری، عدم Sanitization در پارامتر $_GET[‘_from’] است که منجر به PHP Object Deserialization میشود.
در گزارش فنی، Firsov توضیح میدهد که اگر نام متغیر نشست (Session Variable) با علامت تعجب (!) آغاز شود، Session Corruption رخ میدهد و امکان Object Injection فراهم میشود.
پس از انتشار وصله امنیتی، مهاجمان تغییرات اعمالشده را تحلیل کرده، اکسپلویت را توسعه داده و آن را در یک فروم هکری با توضیح نیاز به داشتن حساب کاربری معتبر تبلیغ کردند.
با این حال، نیاز به Login Credentials مانع خاصی برای مهاجمان نیست، چرا که عامل تهدید اعلام کرده است میتواند این اطلاعات را از Logs استخراج کند یا با استفاده از Brute Force به آن دست یابد.
Firsov همچنین اشاره میکند که ترکیب اطلاعات احراز هویت میتواند از طریق Cross-Site Request Forgery (CSRF) نیز بهدست آید.
ارزشگذاری و دامنه آسیب
بر اساس گزارش Firsov، دستکم یک Vulnerability Broker حاضر است تا سقف ۵۰ هزار دلار برای یک RCE Exploit در Roundcube پرداخت کند.
او همچنین یک ویدئو جهت نمایش چگونگی بهرهبرداری از این آسیبپذیری منتشر کرده است. شایان ذکر است که در این ویدئو از شناسه CVE-2025-48745 استفاده شده که در حال حاضر به عنوان Duplicate Candidate برای CVE-2025-49113 رد شده است.
با وجود اینکه Roundcube برای کاربران عمومی کمتر شناختهشده است، اما بهدلیل Customizability بالا (بیش از ۲۰۰ گزینه قابل پیکربندی) و Open Source بودن، از محبوبیت زیادی برخوردار است.
علاوه بر ارائه توسط شرکتهای Hosting و ادغام در پنلهای کنترل هاستینگ مانند cPanel و Plesk، بسیاری از سازمانهای دولتی، دانشگاهی و حوزه فناوری از Roundcube استفاده میکنند.
Firsov اضافه میکند که Webmail App مذکور چنان حضور گستردهای دارد که یک Pentester به احتمال بیشتری به نمونهای از Roundcube برمیخورد تا یک SSL Misconfiguration.
او میگوید: «سطح حمله بزرگ نیست—بلکه صنعتی است.»
طبق بررسیهای انجامشده در Search Engineهای تخصصی کشف سرویسها و تجهیزات متصل به اینترنت، دستکم ۱.۲ میلیون هاست Roundcube در حال حاضر شناسایی شدهاند.
