Uma vulnerabilidade crítica, identificada como CVE-2025-49113, na popular aplicação de webmail open-source Roundcube está a ser ativamente explorada por cibercriminosos. A falha permite a execução remota de código, concedendo aos atacantes um controlo significativo sobre os sistemas afetados. A situação é de tal forma grave que já foi apelidada de "apocalipse do email".
A falha de segurança, que esteve presente no software durante mais de uma década, afeta as versões do Roundcube desde a 1.1.0 até à 1.6.10. Embora uma correção tenha sido lançada no dia 1 de junho, demorou apenas alguns dias para que os atacantes realizassem engenharia inversa da solução, desenvolvessem um exploit funcional e o colocassem à venda em fóruns de hackers.
O Roundcube é uma das soluções de webmail mais utilizadas a nível mundial, em grande parte por ser incluído nas ofertas de gigantes do alojamento web como GoDaddy, Hostinger, Dreamhost e OVH, afetando potencialmente milhões de utilizadores.
"Apocalipse do email": uma falha com uma década
A vulnerabilidade CVE-2025-49113 recebeu uma pontuação de severidade de 9.9 em 10, classificando-a como crítica. Trata-se de uma falha de execução remota de código (RCE) pós-autenticação, descoberta e reportada por Kirill Firsov, o CEO da empresa de cibersegurança FearsOff.
A raiz do problema reside na falta de validação do parâmetro $_GET['_from'], o que leva a uma desserialização de objetos em PHP. Conforme explicado por Firsov num relatório técnico, quando o nome de uma variável de sessão é iniciado com um ponto de exclamação, a sessão pode ser corrompida, abrindo a porta à injeção de objetos maliciosos.
Devido à exploração ativa e à venda do exploit, o investigador decidiu publicar os detalhes técnicos antes do final do período de divulgação responsável, afirmando: "Acredito que é do melhor interesse dos defensores, das equipas de segurança (blue teams) e da comunidade em geral publicar uma análise técnica completa".
A corrida entre a correção e a exploração
Apesar de a vulnerabilidade exigir que o atacante tenha credenciais de acesso válidas, este não parece ser um grande obstáculo. O ator de ameaça que vende o exploit afirma que as credenciais podem ser extraídas dos logs do sistema ou obtidas através de ataques de força bruta. Firsov acrescenta que um ataque de falsificação de pedidos entre sites (CSRF) também poderia ser usado para obter os dados de acesso necessários.
A gravidade e o valor desta falha no mercado negro são evidentes. Segundo o investigador, um intermediário de vulnerabilidades chega a pagar até 50.000 dólares por um exploit de RCE funcional para o Roundcube. Para demonstrar o impacto, foi publicado um vídeo que ilustra como a vulnerabilidade pode ser explorada.
Uma superfície de ataque "industrial"
Embora possa não ser um nome familiar para o consumidor comum, o Roundcube é extremamente popular, não só por ser gratuito, mas também pela sua elevada capacidade de personalização. É utilizado por inúmeras organizações nos setores governamental, académico e tecnológico.
Firsov descreve a omnipresença da aplicação de forma contundente, afirmando que a superfície de ataque não é grande, "é industrial". Uma pesquisa rápida em motores de busca especializados na descoberta de dispositivos ligados à Internet revela a existência de, no mínimo, 1,2 milhões de servidores com Roundcube expostos online. Perante a rápida exploração desta falha, é crucial que todos os administradores de sistemas que utilizem o Roundcube apliquem a atualização de segurança mais recente com a máxima urgência.
Nenhum comentário
Seja o primeiro!