Roundcube, eine der meistgenutzten Open-Source-Lösungen für Webmail, steht aktuell im Zentrum einer massiven Sicherheitsbedrohung. Seit Anfang Juni 2025 ist ein Exploit im Umlauf, der eine kritische Sicherheitslücke ausnutzt, welche es Angreifern ermöglicht, aus der Ferne beliebigen Schadcode auszuführen. Die Schwachstelle trägt die Bezeichnung CVE-2025-49113 und befindet sich in Roundcube Webmail-Versionen von 1.1.0 bis einschließlich 1.
6.10. Diese Sicherheitslücke ist nicht nur neu, sondern seit über zehn Jahren im Code des Projekts verborgen. Sie wurde erst kürzlich entdeckt und mit einem Update behoben, doch die rasche Verbreitung des Exploits stellt den Schutz vieler Nutzer und Unternehmen auf die Probe. Hacker auf der Suche nach Zugangsdaten und Infrastruktur versuchen mit verschiedenen Methoden, darunter Brute-Force-Angriffe und CSRF (Cross-Site Request Forgery), die Anmeldung zu kompromittieren, um den Exploit erfolgreich einsetzen zu können.
Dabei ist den Angreifern bewusst, dass ein gültiger Login erforderlich ist. Dennoch gilt dies nicht als Hürde, da Zugangsdaten zumeist über Schwachstellen in der Anwendung oder auf angrenzenden Systemen, Fehlkonfigurationen und Attacken auf Protokolle wie HTTP abgegriffen werden können. Die technische Ursache liegt in einer unzureichenden Filterung eines bestimmten GET-Parameters, spezifisch $_GET['_from'], welcher unsachgemäß deserialisiert wird. Das erlaubt Angreifern, manipulierte PHP-Objekte einzuschleusen und so die Kontrolle über den Server zu übernehmen. Kluge Sicherheitsforscher haben bereits Demonstrationen veröffentlicht, die diesen Angriffsvektor belegen.
Die Bedeutung von Roundcube im Ökosystem der Internet-Dienste ist dabei nicht zu unterschätzen. Als weit verbreiteter Webmail-Client wird er von einer Reihe großer Hosting-Anbieter wie GoDaddy, Hostinger, Dreamhost und OVH bereitgestellt. Überdies ist Roundcube ein beliebter Bestandteil von Steuer- und Konfigurationspanel-Lösungen wie cPanel und Plesk, was seinen Einsatz in vielen Unternehmen, öffentlichen Institutionen sowie akademischen Einrichtungen weltweit verstärkt. Die Verfügbarkeit eines funktionsfähigen Exploits auf Underground-Foren erhöht den Druck auf Administratoren massiv. Für sogenannte „Blue Teams“ und Sicherheitsexperten bedeutet dies erhöhte Wachsamkeit und schnelle Reaktion.
Das Risiko für großflächige Angriffe mit erheblichen Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von E-Mail-Systemen ist real und gegenwärtig. Die in der Sicherheitsbewertung vergebene CVSS Punktzahl von 9,9 auf einer Skala bis 10 unterstreicht die kritische Schwere der Schwachstelle. Sie ist vergleichbar mit den gefährlichsten Exploits, die in der Cyberkriminalität genutzt werden. Durch die Nutzung dieser Schwachstelle können Angreifer nicht nur Daten abfangen oder manipulieren, sondern weitreichende Kontrolle über betroffene Server erlangen und diese für Spionage, Tarnung von weiteren Angriffen oder zum Aufbau von Botnetzen einsetzen. Die Geschichte von Roundcube und Sicherheitslücken ist ein Mahnmal für die ständige Bedrohung durch Sicherheitslücken in weitverbreiteter Software.
Bereits in der Vergangenheit wurden Schwachstellen in Roundcube von bekannten Hackergruppen wie APT28, Winter Vivern und TAG-70 ausgenutzt, was die Ernsthaftigkeit der Lage zeigt. Die Konsequenzen einer erfolgreichen Kompromittierung können also gravierend sein, angefangen von wirtschaftlichem Schaden für Unternehmen bis hin zu politisch oder militärisch motivierten Cyberangriffen auf kritische Infrastruktur. Neben der eigentlichen Sicherheitslücke betrachten Experten auch die Angriffsfläche insgesamt als extrem groß. Forscher betonen, dass es wahrscheinlicher ist, eine Roundcube-Installation in Unternehmensnetzwerken zu finden als eine falsch konfigurierte SSL-Verbindung – ein Surrogat für die herausragende Verbreitung und das damit verbundene Risiko. Aus diesem Grund empfehlen Sicherheitsexperten, zeitnah alle verfügbaren Updates und Patches zu installieren.
Die Aktualisierung auf die Version, die ab dem 1. Juni 2025 verfügbar ist, sollte höchste Priorität haben, um eine Ausnutzung der Schwachstelle zu verhindern. Parallel dazu raten sie zur Überprüfung von Zugangsdaten auf Kompromittierungen und zur Verstärkung von Anmelde-Sicherheitsmechanismen, zum Beispiel durch Einsatz von Zwei-Faktor-Authentifizierung. Zudem ist eine konsequente Überwachung der Serverlogs sowie der Netzwerkaktivitäten essentiell, um untypische Aktivitäten frühzeitig zu entdecken. Auch das Schließen weiterer potenzieller Angriffsvektoren im Umfeld der E-Mail-Dienste trägt zur Risikominderung bei.
Angesichts der Tatsache, dass schon jetzt Vergütungen von bis zu 50.000 US-Dollar für funktionierende Exploits dieser Schwachstelle ausgeschrieben sind, ist davon auszugehen, dass zukünftige Attacken an Komplexität und Häufigkeit zunehmen werden. Unternehmen und Behörden sollten deswegen enger zusammenarbeiten und ihre Sicherheitsarchitektur umfassend aufstellen, um Bedrohungen schnell zu erkennen und darauf zu reagieren. Softwareentwickler im Open-Source-Umfeld sind gefordert, Mechanismen zur frühzeitigen Erkennung und Behebung von Sicherheitslücken zu stärken und eine sicherheitsbewusste Entwicklungspraxis zu fördern. Das Beispiel von CVE-2025-49113 zeigt, wie tief verwurzelte Fehler lange unentdeckt bleiben können, bis plötzlich eine kritische Lage entsteht.
