背景
RoundCube是一款基于Web的開源電子郵件客戶端,使用PHP編寫,支持IMAP協(xié)議,提供類似于桌面郵件應(yīng)用的用戶體驗。RoundCube一直以來就是替代商業(yè)郵件系統(tǒng)的輕量級解決方案。雖然歷史也出現(xiàn)過很多漏洞,但本次CVE-2025-49113是一個長達十年未被發(fā)現(xiàn)的嚴重安全漏洞,造成影響較為廣泛。
圖1:Roundcube熱力圖
01 攻擊場景概述
還記得3年前的Proxynotshell漏洞需要經(jīng)過身份驗證后RCE,很多企業(yè)覺得身份驗證會使這個漏洞利用條件苛刻,從而不修復(fù)這個漏洞,這就導(dǎo)致了在三年內(nèi)被勒索組織利用竊密器獲取憑證+Proxynotshell實施勒索的企業(yè)不在少數(shù)。
Roundcube此次漏洞也是類似,涉及范圍廣,危害大,某些勒索組織和APT組織肯定會用像Proxynotshell一樣的攻擊流程。
典型攻擊流程:
與傳統(tǒng)漏洞利用的區(qū)別:
從竊密器數(shù)據(jù)到利用與上述兩種利用方式的最大區(qū)別就是你不知道在何時在何地中招了竊密器,已經(jīng)將郵箱憑據(jù)泄露。并且這樣組合攻擊的優(yōu)勢在于隱蔽性和效率提升,首先登錄行為看似合法,漏洞利用流量混雜在正常郵件操作中,竊密器數(shù)據(jù)直接篩選驗證出來可登錄的、高價值的目標,從而使漏洞利用從”概率攻擊“變?yōu)榱恕本珳蚀驌簟啊?/p>
02 在野攻擊捕獲與分析
天元實驗室威脅情報小組發(fā)現(xiàn)近期多個攻擊組織頻繁在暗網(wǎng)交易平臺購買已驗證的郵箱憑證,這些憑證大多來自僵尸網(wǎng)絡(luò)操控、釣魚攻擊、供應(yīng)鏈投毒攻擊等惡意活動。監(jiān)測數(shù)據(jù)顯示,6月7日,某暗網(wǎng)市場出現(xiàn)大量郵箱數(shù)據(jù)交易,其中包括諸多國家,導(dǎo)致企業(yè)將面臨更大數(shù)據(jù)泄露風(fēng)險。攻擊者可能利用這些憑證發(fā)起撞庫攻擊、APT滲透,天元實驗室威脅情報小組猜測買賣數(shù)據(jù)可能和Roundcube漏洞相關(guān),為驗證好的Roundcube郵件應(yīng)用系統(tǒng)口令憑據(jù)。
圖2:地下論壇郵箱權(quán)限交易
天元實驗室威脅情報小組發(fā)現(xiàn)一起在野利用CVE-2025-49113的攻擊活動,并將該攻擊組織命名為CTC-APT-7,該組織針對敘利亞政府單位、銀行單位、能源發(fā)電單位的Roundcube發(fā)起攻擊活動。
攻擊組織在漏洞利用上有一定的對抗性,漏洞利用腳本考慮目標安全防護,做了如下判斷,檢測了disable_function列表。
并且使用random_bytes插入隨機字節(jié)到混淆反序列化數(shù)據(jù)繞過WAF。
同時在POST請求上傳文件觸發(fā)漏洞的時候,并且還將上傳點也做了Bypass WAF處理,對比Github的fearsoff原版POC,不難發(fā)現(xiàn)在原版POC上進行了改動,但也可以通過從請求的Url中獲取存在固定的惡意特征。
03 暗網(wǎng)監(jiān)控:從數(shù)據(jù)泄露到主動防御
竊密器(InfoStealer)自2007年Zeus惡意軟件首次出現(xiàn)以來不斷演化,最初主要針對銀行賬戶憑證,后因源代碼泄露催生出AZORult、HawkEye等變種;如今,這類惡意軟件不僅能竊取金融數(shù)據(jù)、加密貨幣錢包、軟件許可證,還能盜取瀏覽器保存的密碼、Cookie及自動填充數(shù)據(jù)、郵箱憑據(jù),并進一步結(jié)合地下黑市交易和多因素認證(MFA)繞過技術(shù),使攻擊者能精準竊取Discord、Slack等敏感賬戶,甚至被APT組織用于針對企業(yè)或個人的定向攻擊,威脅持續(xù)升級。
圖3: 竊密器發(fā)展史
針對竊密器數(shù)據(jù)泄露防護:
綠盟科技暗網(wǎng)威脅情報評估服務(wù)結(jié)合真實網(wǎng)絡(luò)環(huán)境的威脅監(jiān)控,實時跟蹤攻擊組織在公開及私密渠道中的泄露情報。依托獨有的技術(shù)手段與情報來源,持續(xù)收集各類信息竊密器泄露的憑據(jù)情報,并與其他暗網(wǎng)情報進行整合與交叉驗證。從憑據(jù)泄露、失陷主機、漏洞利用、黑市交易等多維度深入分析,全面評估企業(yè)在暗網(wǎng)中的威脅暴露面及潛在攻擊風(fēng)險,并在識別到高風(fēng)險攻擊活動時及時發(fā)出預(yù)警。
附錄 參考鏈接
https://cert.pl/en/posts/2025/06/unc1151-campaign-roundcube/