Nei giorni scorsi è emersa una notizia piuttosto preoccupante per quel che riguarda una lunga lista di webmail che utilizzano Roundcube, piattaforma tra le più gettonate anche dai provider di servizi IT per le caselle fornite via web ai propri clienti. È necessario precisare che questo approfondimento non mira assolutamente a screditare le aziende che scelgono di utilizzare Roundcube per i propri servizi, ma mettono proprio in risalto la capacità di reazione e di aggiornamento che un provider può avere a differenza di quello che spessissimo accade per i singoli cittadini o le singole imprese che non hanno cura dei propri sistemi (vedi i mancati update dei plugin di WordPress, ad esempio).
Tornando alla vulnerabilità, sembra che ad inizio giugno sia stato rilevato che per ben 10 anni quest’ultima è stata presente in tutte le versioni delle note webmail, più precisamente quelle che vanno dalla 1.1.0 alla 1.6.10. Un ricercatore russo si è accorto del problema, subito inserito nella lista delle falle di sicurezza con il codice CVE-2025-49113 con un punteggio di gravità pari a 9.9 su 10, che consiste nella possibilità di eseguire codice remoto ma solo agli utenti che hanno effettuato l’accesso, cosa che non ha scoraggiato certo gli hacker poiché molti di essi hanno usato credenziali rubate utilizzando una delle tante tecniche disponibili tra le quali gli attacchi brute-force.
Come anticipato in apertura, la misura della gravità della vulnerabilità è data anche dall’alto numero di caselle webmail potenzialmente “a disposizione” degli hacker, visto che moltissimi provider le utilizzano, così come molti enti pubblici e tantissime altre società, visto che si parla in tutto di un 1.2 milioni circa di utenze generali e di quasi 85mila caselle a rischio poiché ancora su versioni vulnerabili. Vengono forniti alcuni dati geografici per stabilire quali siano i paesi con più webmail Roundcube vulnerabili, ovvero gli Stati Uniti con 19mila caselle, l’India con 15mila e poi Francia, Canada e Inghilterra con numeri che vanno tra 3.500 e 2.400 caselle. Gli esperti di cybersecurity non sanno se questa vulnerabilità è stata già sfruttata, ma ciò che è certo è che tutti coloro che ne sono potenzialmente interessati devono provvedere quanto prima ad effettuare gli aggiornamenti alle versioni 1.6.11 e la 1.5.10 LTS, ma a tutti coloro che non possono procedere all’aggiornamento viene consigliato anche di procedere al blocco del caricamento dei file, l’aggiunta della protezione da attacchi CSRF e molte altre operazioni di carattere tecnico.
Ovviamente lo sfruttamento della falla serve anche per monetizzare a coloro che hanno pubblicato su un forum di hacker specializzati l’analisi della patch rilasciata inizialmente da Roundcube per poterla aggirare. Visto che queste informazioni e specifiche possono fruttare decine di migliaia di dollari a coloro che le mettono in vendita su questi portali è chiaro quanto esse siano estremamente pericolose e da aggiustare nell’esatto momento in cui vengono rilasciati gli update. L’ultimo consiglio, a tutti coloro che rientrano tra gli utilizzatori o tra i fornitori di Roundcube, è ovviamente quello di procedere agli aggiornamenti immediatamente, ma è possibile che già siano già corsi ai ripari. Per coloro, invece, che sono clienti di provider che utilizzano Roundcube è invece importante sapere che le operazioni di aggiornamento non sono e non possono essere immediate, visto che si parla potenzialmente di miriadi di server di posta tra quelli condivisi e quelli dedicati, tutti da aggiornare stando attenti a che tutte le operazioni si svolgano senza causare alcun disservizio.
