Хакеры атакуют почтовые клиенты с помощью уязвимости нулевого дня
👨💻 Группа хакеров Winter Vivern эксплуатирует уязвимость нулевого дня в программном обеспечении для обмена почтой Roundcube Webmail, которая позволяет загружать произвольный JavaScript-код.
📪 Целью атаки является кража электронных писем из аккаунтов жертв. Для этого хакеры отправляют фишинговое сообщение, которое включает полезную нагрузку в кодировке Base64, которая декодируется и внедряется в окно браузера пользователя с помощью уязвимости межсайтового скриптинга (XSS).
👱♂️ Группа Winter Vivern известна своими атаками против Украины, Польши, государственных организаций по всей Европе и Индии. Уязвимость, которую они используют, имеет идентификатор CVE-2023-5631 и была исправлена 14 октября этого года.
#WinterVivern #Roundcube #XSS #0day
@ZerodayAlert
#WinterVivern #Roundcube #XSS #0day
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Хакеры Winter Vivern активно эксплуатируют 0-day уязвимость в почтовом клиенте Roundcube
От потенциальной жертвы требуется лишь открыть письмо, а преступники сами найдут нужный путь.
👀2🤯1😈1
Эксплойт для Roundcube уже на форумах
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
🧩 Некоторые уязвимости спят в коде годами, но просыпаются мгновенно. CVE-2025-49113 в Roundcube пролежала в исходниках больше десяти лет, а уже через пару суток после патча была превращена в рабочий эксплойт. Столь короткий цикл обратной разработки подчёркивает зрелость атакующих и даёт повод переосмыслить скорость установки обновлений как критический параметр безопасности, а не рутинную обязанность.
🔬 Ключ к атаке — десериализация PHP-объектов через параметр $_GET['_from']. Что делает уязвимость особенно неприятной — её скрытность и пост-аутентификационный характер: формально нужен вход в систему, но на практике это не преграда. CSRF, перебор паролей, анализ логов — всё давно отточено. Факт, что уязвимость распространяется на версии от 1.1.0 до 1.6.10, покрывает почти весь живой зоопарк Roundcube-инстансов.
🧠 Roundcube — не просто "ещё одна веб-почта". Он встроен в инфраструктуру множества провайдеров и панелей управления. Вектор атаки, направленный на такую систему, получает масштаб воздействия, сравнимый с уязвимостями в популярных VPN или CMS. Активная эксплуатация уже началась — и это предупреждение всей отрасли: технический долг, даже в "неочевидных" системах, рано или поздно превращается в "прорыв плотины".
#roundcube #webmail #уязвимость #эксплойт
@ZerodayAlert
SecurityLab.ru
Хакеры среагировали быстрее админов — рабочий эксплойт для Roundcube уже в сети
Уязвимость десятилетней давности теперь в руках злоумышленников — и они не теряют времени.
❤1👍1😢1😍1