Webmail to „centrum dowodzenia” w wielu firmach: resetuje hasła, odbiera faktury, potwierdza przelewy i przyjmuje wiadomości z linkami. Dlatego podatności w popularnych platformach poczty (takich jak Roundcube) są łakomym kąskiem – bo dają atakującemu dostęp do skrzynki, a skrzynka często daje dostęp do reszty.
Co się dzieje?
CISA dodała do katalogu KEV (Known Exploited Vulnerabilities) dwie podatności Roundcube, wskazując na dowody aktywnego wykorzystywania. Media branżowe opisują m.in. poważną lukę umożliwiającą zdalne wykonanie kodu (RCE) oraz podatność typu XSS związaną z obsługą SVG.
Dlaczego to groźne (praktycznie)?
Bo przejęta skrzynka to często:
- podejrzenie korespondencji (faktury, umowy, dane klientów),
- przechwycenie resetów haseł („zapomniałem hasła”),
- podszycie się pod pracownika i wyłudzenie płatności (BEC — Business Email Compromise),
- rozsyłanie phishingu „z zaufanego adresu”.
Jak wygląda typowy łańcuch ataku po przejęciu poczty?
1.Dostęp do webmaila / luka w aplikacji.
2.Atakujący ustawia reguły: przekierowanie, ukrywanie wiadomości, usuwanie alertów.
3.Obserwuje faktury/kontrahentów i czeka na najlepszy moment.
4.Wysyła mail „podmień konto do przelewu” albo „pilna prośba o płatność”.
Co zrobić, jeśli używasz Roundcube (albo adminujesz pocztą)?
Priorytet 1 – aktualizacja:
- Aktualizuj Roundcube do wersji zalecanej przez vendorów / dystrybucję.
- Jeśli nie możesz patchować od razu: ogranicz dostęp do webmaila (VPN, IP allowlist).
Priorytet 2 – zabezpieczenie kont:
- Włącz 2FA tam, gdzie to możliwe.
- Zadbaj o mocne hasła i brak współdzielonych skrzynek „admin@”.
Priorytet 3 – detekcja:
- Sprawdź reguły filtrów/przekierowań (często to pierwsza oznaka włamania).
- Zwróć uwagę na logowania z nietypowych lokalizacji i godzin.
Linki:
https://www.cisa.gov/known-exploited-vulnerabilities-catalog