Yeraltı forumlarında satışa sunulması ve halka açık bir POC istismarının (CVE-2025-49113) bir istismar (CVE-2025-49113) ile, kusurdan yararlanan saldırılar gelen ve muhtemelen halihazırda gerçekleşiyor.
The Shadowserver Vakfı’na göre, olası hedeflerin eksikliği yok: ağırlıklı olarak Avrupa, Asya ve Kuzey Amerika’da yaklaşık 84.000 internete bakan enstalasyon hala açılmadı.
Roundcube nedir?
Roundcube, PHP ve MySQL veya PostgreSQL gibi bir veritabanı ile genellikle Apache veya NGINX’i çalıştıran bir Linux sunucusu olan standart web sunucularında çalıştırılacak şekilde tasarlanmış ücretsiz ve açık kaynaklı bir web tabanlı e-posta istemcisidir. Bir IMAP e -posta sunucusuna bağlanacak şekilde ayarlandıktan ve yapılandırıldıktan sonra, kullanıcılar e -posta göndermek ve almak için bir web tarayıcısı üzerinden oturum açabilir.
Roundcube, kendi posta sunucularına ev sahipliği yapan ve verilerinin kontrolünü elinde tutmak isteyen bireyler ve kurumlar tarafından yaygın olarak kullanılır. Akademik kurumlar, Avrupa devlet kurumları, sağlık kuruluşları, web barındırma sağlayıcıları, STK’lar vb.
Bu kurumların bazılarıyla olan popülaritesi, yuvarlak küme güvenlik açıklarını siber casuslukla uğraşan devlet destekli saldırganlar için ödüllü bir araç haline getirmiştir.
CVE-2025-49113 HAKKINDA
CVE-2025-49113, alttaki sunucuda uzaktan kod yürütme ve tam olarak tehlikeye atma konusundaki thuse için saldırganlar tarafından kullanılabilecek bir PHP nesnesi sazizleşme güvenlik açığıdır.
İstismarın dağıtılması için sunucuya giriş yapabilmeleri gerekir (örn. Temel bir kullanıcı hesabı ile).
CVE-2025-49113, 1.5.9 sürümüne kadar olan ve 1.6.0 ila 1.6.10 sürümlerine kadar olan yuvarlak kamüp sürümlerini etkiler. 1 Haziran 2025’te yayınlanan 1.5.10 ve 1.6.11 sürümlerinde yamalandı.
Güvenlik açığı, başlangıçta teknik detaylar ve POC istismarını yayınlamaktan kaçınan siber güvenlik şirketi Fearsoff CEO’su Kirill Firsov tarafından özel olarak bildirildi.
Ne yazık ki, GitHub’daki yamanın kamuya açıklanması, tehdit aktörlerinin 48 saat içinde kusurları ortaya çıkarmasına ve etkili bir şekilde silahlandırmasına izin verdi. Kedinin çantadan çıkmasıyla (tabiri caizse) Firsov, kendi POC istismarını yayınladı, “savunuculara daha fazla sömürü artmadan önce eşit zemin vermek ve sorunu anlamada şeffaflık ve teknik doğruluk sağlamak.
“Roundcube temel olarak ‘WebMail istemcisi’ için varsayılan eşanlamlı hale geldi ve sadece insanlar gibi değil – bunun nedeni, barındırma sağlayıcılarının ücretsiz olarak atmayı sevmeleri. Hosting, DreamHost, OVH, Gandi tarafından gururla paketlendiğini göreceksiniz… Temel olarak sizi satan herkes, 3.99 $/ay için paylaştı.”
Ayrıca CPanel ve Plesk gibi popüler kontrol panellerinin de yuvarlak büpü de içerdiğine dikkat çekti.
Ne yapalım?
Roundcube kullanıcılarının mümkün olan en kısa sürede düzeltme ile bir sürüme yükseltilmeleri istenir ve “dosya yüklemelerini, oturum etkinliğini ve bu saldırı vektörüne bağlı diğer göstergeleri izlemeyi” dikkate almalıdır.
Kullanıcılar ayrıca, satıcılar güncellemeleri kullanıma sunduğunda bu çözümleri güncelleyerek paketlenmiş sürümleri yamalıdır.
İlgili haberlerde, Cert Polska, CVE-2024-42009 aracılığıyla Polonyalı varlıkları hedefleyen bir Mızrak Kimliği kampanyasını işaretledi, bu da bir kurbanın e-postalarını ve hesap şifresini hazırlanmış bir e-posta mesajı aracılığıyla çalmalarına izin verebilecek bir XSS hatası.
Ekip, “Etkilenen varlıklardan birinde olay analizine göre, kullanıcı kimlik bilgilerini başarıyla topladıktan sonra, saldırganlar daha sonra posta kutusu içeriğini analiz etmek, adres defterini indirmek ve bazı durumlarda daha fazla kimlik avı mesajını yaymak için hesabı kullanın” diye paylaştı.
“Bu tür bir sömürü belirtisi görmemiş olsak da, Roundcube’de sadece bu hafta keşfedilen yeni bir güvenlik açığının (CVE-2025-49113)-oldukça etkili bir saldırı zinciri oluşturmak için bir hesap uzlaşma kırılganlığı ile birleştirilebileceğini belirtmek gerekir.”
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!