Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   В продаже появился эксплоит для критической уязвимости в Roundcube (http://txgate.io:443/showthread.php?t=51301031)

Artifact 06-06-2025 07:11 PM
<div id="post_message_795876">

Эксперты предупреждают, что хакеры начинают эксплуатировать свежую уязвимость (CVE-2025-49113) в опенсорсном почтовом клиенте Roundcube Webmail. Проблема позволяет удаленно выполнить произвольный код.<br/>
<br/>
Уязвимость присутствует в коде Roundcube Webmail более десяти лет и затрагивает версии с 1.1.0 по 1.6.10. Исправление для этой ошибки было выпущено <a href="https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10" target="_blank">1 июня 2025 года</a>.<br/>
<br/>
Злоумышленникам потребовалась всего пара дней, чтобы отреверсить это исправление и начать продавать рабочий эксплоит для CVE-2025-49113, который теперь замечен как минимум на одном хакерском форуме.<br/>
<br/>
Roundcube является одним из наиболее популярных решений для работы с веб-почтой, и его предлагают своим клиентам такие известные хостинг-провайдеры, как GoDaddy, Hostinger, Dreamhost и OVH.<br/>
<br/>
Проблема CVE-2025-49113 представляет собой уязвимость удаленного выполнения кода (RCE), которая набрала 9,9 балла из 10 возможных по шкале CVSS. Баг выявил глава компании FearsOff, Кирилл Фирсов, который решил раскрыть <a href="https://fearsoff.org/research/roundcube" target="_blank">технические подробности</a> проблемы, так как эксплоит уже доступен в сети.<br/>
<br/>
<div style="margin:20px; margin-top:5px; ">
<!-- <div class="smallfont" style="margin-bottom:2px">Quote:</div> -->
<table border="0" cellpadding="6" cellspacing="0" width="100%">
<tr>
<td class="alt2" style="background: rgb(37, 37, 37) none repeat scroll 0% 0%; border: 1px solid rgb(0, 0, 0); border-radius: 5px; font-size: 11px; text-shadow: none;">
<font size="3">«Учитывая активную эксплуатацию и доказательства того, что эксплоит уже продается на андеграундных форумах, я считаю, что в интересах защитников, „синих“ команд и сообщества безопасности в целом опубликовать технический анализ, но пока без полного PoC», — пишет Кирилл Фирсов.</font>
</td>
</tr>
</table>
</div>Корень проблемы заключается в отсутствии должной очистки параметра $_GET['_from'], что приводит к десериализации объекта PHP. В своем техническом отчете Фирсов объясняет, что если имя переменной сессии начинается с восклицательного знака, сессия нарушается, и появляется возможность для инъекции объектов. Специалист уже опубликовал <a href="https://youtu.be/TBkTbMJWHJY" target="_blank">видео</a>, демонстрирующее процесс эксплуатации уязвимости.<br/>
<br/>
После того как уязвимость была исправлена, злоумышленники проанализировали изменения, внесенные патчем, разработали эксплоит и уже рекламируют его на одном из хакерских форумов.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://xakep.ru/wp-content/uploads/2025/06/517950/XSS_Roundcube-exploit.jpg"/><br/>
<br/>
В объявлении отмечается, что для применения эксплоита потребуется действующий логин. Но злоумышленники уверяют, что это вряд ли станет проблемой, так как учетные данные можно извлечь из логов или применить брутфорс. В свою очередь Фирсов отмечает, что комбинацию учетных данных можно получить и с помощью CSRF.<br/>
<br/>
По словам исследователя, как минимум один брокер уязвимостей готов заплатить <a href="https://www.crowdfense.com/exploit-acquisition-program/" target="_blank">до 50 000 долларов</a> за RCE-эксплоиты для Roundcube.<br/>
<br/>
Так как Roundcube предоставляется хостинг-провайдерами и входит в состав панелей управления (cPanel, Plesk), им пользуются многочисленные организации в правительственном, академическом и технологическом секторах.<br/>
<br/>
Кроме того, Фирсов утверждает, что это почтовое приложение настолько широко распространено, что пентестер с большей вероятностью обнаружит установку Roundcube, чем неправильную конфигурацию SSL. Учитывая повсеместное распространение приложения, исследователь предупреждает, что «поверхность атаки не просто большая, это промышленные масштабы» и призывает пользователей как можно скорее установить обновления.<br/>
<br/>
Стоит отметить, что в прошлом баги в Roundcube Webmail неоднократно использовались в атаках такими хак-группами, <a href="https://xakep.ru/2023/10/26/roundcube-webmail-0day/" target="_blank">как APT28, Winter Vivern</a> и <a href="https://www.recordedfuture.com/russia-aligned-tag-70-targets-european-government-and-military-mail" target="_blank">TAG-70</a>.<br/>
<br/>
<a href="https://xakep.ru/2025/06/06/roundcube-exploit/" target="_blank">@ xakep.ru</a>
</div>


All times are GMT. The time now is 10:15 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.