記事本文(要約)
Roundcube webmailサーバーに深刻なリモートコード実行(RCE)の脆弱性CVE-2025-49113(CVSSスコア9.9)が発見され、既に攻撃に利用されています。この脆弱性は、過去10年間にリリースされた全てのRoundcubeバージョン(1.1.0から1.6.10)に影響し、PHPオブジェクトのデシリアライズを通じて発生します。また、脅威アクターは既に、この脆弱性のエクスプロイトコードをダークウェブで販売しています。
約84,000の未パッチのRoundcubeインスタンスがインターネット上に存在し、認証済みの攻撃としてユーザー名とパスワードが必要ですが、これらはブルートフォース攻撃やログから取得される可能性があります。
さらに、CERTポーランドは別のラウンドキューブの脆弱性CVE-2024-42009が、資格情報の窃取を狙ったスピアーフィッシングキャンペーンに悪用されていると警告しています。この脆弱性は、メールを開くとJavaScriptが実行されるもので、アメリカのCISAもこれを「既知の悪用されている脆弱性」として警戒を呼びかけています。
※この要約はChatGPTを使用して生成されました。
公開日: Tue, 10 Jun 2025 09:38:08 +0000
Original URL: https://www.securityweek.com/exploited-vulnerability-impacts-over-80000-roundcube-servers/
詳細な技術情報
以下に与えられた情報を基に、Roundcubeの脆弱性に関する重要なセキュリティ詳細を整理して説明します。
CVE番号と脆弱性の概要
- CVE-2025-49113
- CVSSスコア: 9.9 (クリティカル)
- 脆弱性の仕組み: PHP Object Deserializationを通じた認証後のリモートコード実行(RCE)。
- 影響バージョン: Roundcube 1.1.0から1.6.10まで全て。
- CVE-2024-42009
- 影響内容: メールを開いた際にJavaScriptコードが実行されるXSS(クロスサイトスクリプティング)脆弱性。
攻撃手法
- CVE-2025-49113
- 攻撃者は、変数名が「!」で始まる場合、セッション破損とPHPオブジェクトインジェクションを引き起こすコードロジックを悪用する。
- 攻撃者は、特定のパラメータをサニタイズしないことを利用し、ファイル名に含まれるペイロードをセッションに注入することが可能。
- この脆弱性の悪用には、有効なユーザー名とパスワードが必要だが、これらの資格情報はブルートフォース攻撃やログからの抽出によって取得される可能性がある。
- CVE-2024-42009
- スピアフィッシングキャンペーンで利用され、メールを開くことで不正なJavaScriptコードが実行される。
潜在的な影響
- システムの完全な制御: 成功した攻撃により、攻撃者はリモートでコードを実行し、サーバー上のデータを操作したり、他の悪意のある行動を取れる可能性があります。
- 資格情報の漏洩: 不正なスクリプトを通してユーザーの資格情報を盗み、さらなる侵害を引き起こすリスクがある。
推奨される対策
- 最新バージョンへのアップデート: Roundcubeをバージョン1.6.11または1.5.10に直ちにアップデートすることが推奨されます。
- フィルタリングとモニタリング: ファイアウォールや侵入検知システムを用いて、不審な活動を監視し、新たな攻撃ベクトルに備える。
- 資格情報の強化: 強力なパスワードポリシーを適用し、可能であれば多要素認証(MFA)を実施。
- ログの監視: 認証情報が漏洩した兆候を検出するために、サーバーログを定期的に監視する。
脆弱性の現在の状況
Shadowserver Foundationによると、85,000以上のRoundcubeサーバがパッチ未適用の状態でインターネットに露出していることが報告されています。CERT Polandは、ベラルーシのハッキンググループUNC1151が関連するスピアフィッシング攻撃を行っていると警告しています。これらの情報から、緊急に対応とパッチ適用が求められています。
