ในยุคที่ข้อมูลอีเมลกลายเป็นหนึ่งในเป้าหมายหลักของแฮกเกอร์ การละเลยการอัปเดตหรือใช้ซอฟต์แวร์ที่มีช่องโหว่ อาจเป็นประตูให้ผู้ไม่หวังดีเข้าควบคุมระบบของคุณได้โดยไม่รู้ตัว ล่าสุดมีการค้นพบช่องโหว่ความรุนแรงระดับสูงมากใน Roundcube Webmail ที่เปิดช่องให้ผู้ใช้งานที่ล็อกอินแล้วสามารถสั่งรันโค้ดบนเซิร์ฟเวอร์ได้ทันที
CVE-2025-49113 คือหมายเลขช่องโหว่ โดยช่องโหว่นี้เกิดจากการที่ไฟล์ upload.php ใน Roundcube ไม่ตรวจสอบพารามิเตอร์ _from อย่างเหมาะสม ทำให้สามารถใช้การ PHP Object Deserialization (คือกระบวนการแปลงข้อมูลกลับเป็นวัตถุ ซึ่งถ้ารับข้อมูลจากผู้ใช้โดยไม่ตรวจสอบ อาจทำให้แฮ็กเกอร์รันโค้ดอันตรายบนเซิร์ฟเวอร์ได้) เพื่อ สั่งรันโค้ดอันตราย บนเซิร์ฟเวอร์ได้หลังจากล็อกอิน
ช่องโหว่นี้กระทบ Roundcube เวอร์ชัน 1.5.10 และ 1.6.x ลงไป รวมไปถึงเวอร์ชัน 1.6.11 ลงไปอีกด้วย
และช่องโหว่นี้อาจถูกใช้โดยกลุ่มแฮกเกอร์ระดับประเทศ (APT) เช่น APT28 (กลุ่มแฮ็กเกอร์ที่ มีความเชื่อมโยงกับหน่วยข่าวกรองทหารของรัสเซีย) และ Winter Vivern (กลุ่มแฮ็กเกอร์ที่ มีความเชื่อมโยงกับรัสเซียหรือเบลารุส) ซึ่งมีประวัติใช้ Roundcube เป็นช่องทางโจมตี และเป้าหมายการโจมตีก็คือ ระดับองค์กรและหน่วยงานภาครัฐ
Kirill Firsov จาก FearsOff ซึ่งเป็นผู้ค้นพบ ระบุว่าจะมีการเผยแพร่ PoC (Proof-of-Concept) ในเร็ว ๆ นี้ — หมายความว่าเราจะเห็นการโจมตีจากช่องโหว่นี้ตามมาอย่างแน่นอนหากยังไม่อัปเดต
ดังนั้นองค์กรใดที่ใช้ Roundcube ควร
- รีบอัปเดต Roundcube เป็นเวอร์ชัน 1.6.11 หรือ 1.5.10 LTS ทันที
- ตรวจสอบ log การเข้าใช้งานย้อนหลัง
- สำรองข้อมูลก่อนอัปเดตเสมอ
- แนะนำให้องค์กรมีระบบสำรองและความปลอดภัยด้านอีเมลอย่างรัดกุม
ช่องโหว่ CVE-2025-49113 กระทบ Roundcube รุ่นเก่า ทำให้ผู้ใช้ที่ล็อกอินแล้วสามารถสั่งรันโค้ดได้ ดังนั้น ควรอัปเดตเป็นเวอร์ชันล่าสุดทันที และตรวจสอบความผิดปกติในระบบ
สำหรับผู้ใช้งานกับทาง hostatom ไม่ต้องกังวลไป เราพร้อมให้คำปรึกษาเรื่องระบบอีเมล ความปลอดภัย และบริการ Backup อย่างมืออาชีพ
ที่มา: The Hacker News
