Uwaga na ataki na polskie serwery ~poczty. Można jednym złośliwym mailem przejąć cały serwer (Roundcube)

CERT Polska ostrzega o aktywnym ataku, celującym w niezaktualizowane oprogramowanie Roundcube (webmail – czyli klient poczty elektronicznej w przeglądarce).

Podatność CVE-2024-42009 wykorzystywana jest grupę hackerską związaną z rządem Białorusi. Do udanego ataku wystarczy otworzenie złośliwego maila w przeglądarce (Roundcube). Nie trzeba nawet otwierać / pobierać żadnych załączników.

CERT Polska ostrzega również o kolejnej podatności CVE-2025-49113, która umożliwia na dostęp na poziomie serwera (RCE) – od strony technicznej jest to możliwość niekontrolowanej deserializacji obiektów PHP. Połączenie tych dwóch luk umożliwia dostęp na serwer zaledwie po odczytaniu złośliwego maila przez ofiarę. Innymi słowy:

połączenie tych dwóch wektorów może prowadzić do pełnego przejęcia infrastruktury atakowanej organizacji

Co robić?

• Zaktualizuj oprogramowanie Roundcube do najnowszej wersji
• Jeśli używasz / używałeś niezaktualizowanego Roundcube wykonaj podstawową analizę powłamaniową (patrz IoC + zalecenia we wpisie tutaj)

~Michał Sajdak