
Co znajdziesz w tym artykule?
Wprowadzenie do problemu
Roundcube to popularny klient webmail wdrażany przez organizacje, które samodzielnie utrzymują infrastrukturę pocztową. Najnowsza kampania wymierzona w uczelnie w Stanach Zjednoczonych i Kanadzie pokazuje, że tego typu systemy pozostają atrakcyjnym celem dla zaawansowanych grup prowadzących operacje szpiegowskie i post-exploitation.
W analizowanym scenariuszu atakujący mieli wykorzystywać podatności w Roundcube do przejęcia sesji użytkowników, kradzieży danych uwierzytelniających oraz uzyskania trwałego dostępu do środowiska pocztowego. To kolejny sygnał, że webmail należy traktować jak krytyczny system brzegowy, a nie wyłącznie narzędzie komunikacji.
W skrócie
Badacze opisali kampanię przypisywaną klastrowi powiązanemu z Chinami, która od maja 2026 roku miała uderzać w wydziały fizyki i inżynierii na uniwersytetach w USA i Kanadzie. Atak opierał się na łańcuchu exploitów przeciwko Roundcube, obejmującym lukę XSS CVE-2024-42009 oraz podatność RCE po uwierzytelnieniu CVE-2025-49113.
- celem była kradzież poświadczeń i przejęcie aktywnych sesji,
- atak mógł prowadzić do wykonania kodu na serwerze pocztowym,
- po udanej eksploatacji wdrażano web shell lub narzędzia post-exploitation,
- kampania koncentrowała się na jednostkach badawczych o znaczeniu strategicznym.
Kontekst i historia
Z opublikowanych ustaleń wynika, że operatorzy kampanii kierowali wiadomości phishingowe do administratorów oraz pracowników naukowych związanych z obszarami takimi jak fizyka cząstek i astrofizyka. Wybór celów sugeruje wcześniejsze rozpoznanie środowisk oraz identyfikację instancji Roundcube, które nadal działały w wersjach podatnych na znane, załatane już błędy.
Roundcube od lat pojawia się w operacjach prowadzonych przez zaawansowanych aktorów zagrożeń. Nowa kampania potwierdza jednak, że serwery webmail są dziś traktowane podobnie jak bramy VPN czy systemy zdalnego dostępu, czyli jako element infrastruktury umożliwiający zarówno kradzież danych, jak i dalszą penetrację sieci organizacji.
Analiza techniczna
Pierwszym etapem ataku było dostarczenie spreparowanej wiadomości e-mail do użytkownika korzystającego z Roundcube. Luka CVE-2024-42009, klasyfikowana jako XSS, umożliwiała wykonanie złośliwego kodu JavaScript po otwarciu wiadomości w podatnych wersjach aplikacji.
Według opisu kampanii złośliwy komponent JavaScript, określany jako IceCube, przejmował dane zapisane w przeglądarce, w tym poświadczenia, pliki cookie i informacje związane z sesją. Malware zbierał również dane rozpoznawcze o środowisku przeglądarki, co ułatwiało dalszą eksploatację.
Kolejny etap polegał na użyciu tokenu CSRF aktywnej sesji do uruchomienia drugiej podatności, CVE-2025-49113. Ta luka, związana z błędem deserializacji danych, pozwala uwierzytelnionemu użytkownikowi na zdalne wykonanie kodu. W praktyce oznacza to, że przejęta sesja może zostać szybko przekształcona w pełną kompromitację serwera pocztowego.
Po skutecznym wykorzystaniu drugiej luki atakujący mieli wdrażać web shell określany jako SquareShell lub alternatywnie instalować narzędzie VShell. Jeżeli podstawowy łańcuch infekcji nie przynosił efektu, operatorzy korzystali z dodatkowego skryptu pobierającego loader ELF znany jako SNOWLIGHT.
Szczególnie niepokojącym elementem były mechanizmy opóźnionych wyzwalaczy. Złośliwy kod reagował między innymi na zamknięcie karty, zmianę aktywnej zakładki czy próbę wylogowania użytkownika, aby ponowić eksploatację i utrzymać ciągłość ataku. Na końcu malware usuwał sesje użytkownika i artefakty powiązane z aktywnością w Roundcube, co utrudniało analizę powłamaniową.
Konsekwencje i ryzyko
Skutki kompromitacji Roundcube wykraczają daleko poza dostęp do pojedynczej skrzynki pocztowej. Przejęcie webmaila może dać napastnikom wgląd w korespondencję, listy kontaktów, dokumenty badawcze, wiadomości administracyjne, a także procesy resetu haseł i wewnętrznej autoryzacji.
W środowisku akademickim oznacza to wysokie ryzyko utraty własności intelektualnej, danych projektowych oraz informacji dotyczących współpracy międzynarodowej. Jeżeli atakujący uzyskają wykonanie kodu na serwerze, mogą wykorzystać go jako punkt wejścia do dalszego ruchu bocznego w sieci uczelni.
Ryzyko zwiększa również fakt, że obie podatności były już publicznie znane i załatane. Brak aktualizacji Roundcube nie jest więc zwykłą zaległością administracyjną, lecz bezpośrednim wektorem kompromitacji organizacji.
Rekomendacje
Najważniejszym krokiem jest natychmiastowe potwierdzenie używanej wersji Roundcube i aktualizacja do wydań niepodatnych. Organizacje powinny potraktować webmail jako system wysokiego ryzyka i objąć go takim samym poziomem monitoringu oraz zarządzania poprawkami jak inne usługi wystawione do internetu.
- sprawdzić wersję Roundcube i pilnie wdrożyć poprawki bezpieczeństwa,
- przeanalizować logi aplikacji, serwera WWW i systemu pod kątem anomalii sesji oraz nietypowych żądań,
- zweryfikować obecność nieautoryzowanych plików PHP, zmodyfikowanych wtyczek i śladów web shelli,
- zresetować aktywne sesje użytkowników i wymusić zmianę haseł dla kont uprzywilejowanych,
- skontrolować integralność hosta oraz pamięci operacyjnej,
- zaostrzyć polityki SPF, DKIM i DMARC w celu ograniczenia skuteczności phishingu,
- wdrożyć monitoring EDR, IDS i reguły detekcji ukierunkowane na eksploatację webmaila,
- przeprowadzić threat hunting pod kątem ruchu wychodzącego i oznak post-exploitation.
Podsumowanie
Opisana kampania pokazuje, że Roundcube stał się pełnoprawnym celem zaawansowanych operacji cybernetycznych. Połączenie luki XSS z podatnością RCE stworzyło skuteczny łańcuch prowadzący od otwarcia wiadomości do przejęcia serwera pocztowego.
Dla organizacji utrzymujących własny webmail kluczowe znaczenie mają szybkie aktualizacje, regularny monitoring oraz gotowość do prowadzenia analizy powłamaniowej. Każde opóźnienie w patchowaniu takich systemów zwiększa prawdopodobieństwo pełnej kompromitacji środowiska.
Źródła
- The Hacker News — Suspected China-Aligned Hackers Exploit Roundcube Flaws Against Universities — https://thehackernews.com/2026/07/suspected-china-aligned-hackers-exploit.html
- NVD — CVE-2024-42009 Detail — https://nvd.nist.gov/vuln/detail/CVE-2024-42009
- NVD — CVE-2025-49113 Detail — https://nvd.nist.gov/vuln/detail/CVE-2025-49113
- Roundcube Security Updates 1.6.8 and 1.5.8 — https://roundcube.net/news/2024/08/04/security-updates-1.6.8-and-1.5.8
- Roundcube Security Updates 1.6.11 and 1.5.10 — https://roundcube.net/news/2025/06/01/security-updates-1.6.11-and-1.5.10