A Agência de Cibersegurança e Segurança de Infraestruturas dos EUA (CISA) emitiu um aviso urgente referente a duas vulnerabilidades no Roundcube Webmail que estão a ser ativamente exploradas em ataques informáticos. As agências federais norte-americanas receberam ordens rigorosas para aplicar as respetivas correções no prazo máximo de três semanas. O Roundcube é um cliente de email focado na web amplamente reconhecido por ser a interface padrão do cPanel desde 2008, o que torna a sua base de utilizadores bastante extensa.
Detalhes das falhas ativamente exploradas
A primeira vulnerabilidade, identificada tecnicamente como CVE-2025-49113, consiste numa falha crítica de execução remota de código. Esta foi corrigida inicialmente em junho de 2025, mas poucos dias após o seu lançamento já existiam relatos de exploração ativa no ativo. Naquela altura, a entidade de monitorização Shadowserver alertou que mais de 84 mil instalações deste serviço de correio eletrónico se encontravam expostas a invasões.
A segunda anomalia de segurança, rastreada como CVE-2025-68461, foi resolvida de forma mais recente, em dezembro de 2025. Trata-se de uma vulnerabilidade de cross-site scripting de baixa complexidade que permite a atacantes remotos e sem necessidade de autenticação explorar o sistema através do abuso da etiqueta animate em documentos SVG. A equipa de desenvolvimento do Roundcube recomendou fortemente a atualização imediata das plataformas para as versões 1.6.12 e 1.5.12, que mitigam o problema de segurança na sua totalidade.
Prazos estipulados e o risco atual
Apesar de as atualizações e correções já estarem disponíveis para os administradores de sistemas, os números da exposição continuam a ser um motivo de forte preocupação. De acordo com os dados apresentados pela plataforma de pesquisa Shodan, existem atualmente mais de 46 mil instâncias do Roundcube acessíveis de forma pública na internet, embora não seja claro quantas destas permanecem efetivamente vulneráveis às duas explorações assinaladas.
Face à gravidade do cenário, a CISA adicionou estas duas vulnerabilidades ao seu catálogo oficial de explorações conhecidas na passada sexta-feira. A agência estipulou o dia 13 de março como data limite para que as várias agências federais garantam a segurança dos seus sistemas e apliquem os pacotes de segurança necessários. O Roundcube tem um longo histórico de ser um alvo preferencial para grupos de cibercrime e atores patrocinados por estados soberanos, com incidentes anteriores a envolverem táticas semelhantes utilizadas por grupos russos contra entidades governamentais na Europa e na Ucrânia.
Nenhum comentário
Seja o primeiro!