Roundcube

Grupo de ameaças ligado à China explora servidores Roundcube em universidades

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando servidores vulneráveis do Roundcube em universidades dos Estados Unidos e Canadá, visando principalmente departamentos de física e engenharia, além de organizações de pesquisa em astrofísica e segurança nacional. Desde maio, a campanha tem sido rastreada pela empresa de cibersegurança Proofpoint, que relata que os ataques começam com e-mails maliciosos enviados de contas comprometidas ou domínios falsificados. Ao abrir esses e-mails em um cliente webmail Roundcube vulnerável, os usuários são afetados por uma falha de cross-site scripting (CVE-2024-42009), que executa um código JavaScript e carrega um payload chamado IceCube. Este malware é capaz de roubar credenciais, dados de autenticação de dois fatores e informações do navegador. Além disso, o malware tenta explorar uma falha de desserialização (CVE-2025-49113) para instalar um webshell PHP, SquareShell, que permite execução remota de código. A Proofpoint sugere que o UNK_MassTraction é um ator de espionagem alinhado à China, dado o uso de infraestrutura associada a grupos chineses e a tática de atacar servidores de e-mail. A empresa recomenda que administradores de sistemas Roundcube apliquem atualizações de segurança para mitigar essas vulnerabilidades.

Grupo ligado à China explora falhas em software de e-mail universitário

Um novo grupo de ameaças, identificado como UNK_MassTraction, está explorando vulnerabilidades críticas no software de webmail Roundcube, utilizado por departamentos de física e engenharia em universidades dos EUA e Canadá. A atividade maliciosa, detectada pela primeira vez em maio de 2026, visa principalmente administradores e professores de áreas relacionadas à segurança nacional e estudos avançados em física. Os atacantes utilizam falhas de segurança, como a CVE-2024-42009, para roubar credenciais e implantar ferramentas de acesso remoto, como VShell e SquareShell. Os e-mails maliciosos são enviados a partir de remetentes comprometidos ou domínios vulneráveis, aproveitando políticas DMARC fracas. O ataque é facilitado por um exploit de cross-site scripting (XSS), que permite a execução de código JavaScript no navegador da vítima. Após a exploração, um payload chamado IceCube coleta informações sensíveis, como dados de autenticação de dois fatores (2FA) e cookies, e tenta obter acesso persistente ao servidor de e-mail. A campanha destaca a necessidade de uma defesa robusta para servidores de e-mail, que são frequentemente alvos de ataques cibernéticos, especialmente por grupos patrocinados por estados, como os da China.

CISA alerta sobre vulnerabilidades críticas no Roundcube Webmail

A CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA) identificou duas vulnerabilidades críticas no Roundcube Webmail, um cliente de e-mail amplamente utilizado, especialmente em servidores que operam com cPanel. A primeira, CVE-2025-49113, é uma falha de execução remota de código que está sendo ativamente explorada por agentes maliciosos, com mais de 84.000 instalações vulneráveis. A segunda vulnerabilidade, CVE-2025-68461, permite ataques de cross-site scripting (XSS) por atacantes remotos e não autenticados, utilizando a tag animate em documentos SVG. Ambas as falhas foram adicionadas ao catálogo de vulnerabilidades conhecidas da CISA, que exige que as agências federais dos EUA apliquem patches em suas instalações em até três semanas. O Roundcube já lançou versões atualizadas (1.6.12 e 1.5.12) para corrigir essas falhas. A CISA também monitora outras vulnerabilidades no Roundcube, que têm sido alvo de grupos de cibercrime e ameaças patrocinadas por estados, como o grupo russo Winter Vivern. A situação é crítica, e a CISA recomenda a atualização imediata das instalações afetadas.

CISA adiciona falhas críticas do Roundcube ao catálogo de vulnerabilidades

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) incluiu duas falhas de segurança do software de webmail Roundcube em seu catálogo de Vulnerabilidades Conhecidas e Exploradas (KEV), devido a evidências de exploração ativa. As vulnerabilidades são: CVE-2025-49113, com uma pontuação CVSS de 9.9, que permite a execução remota de código por usuários autenticados devido à falta de validação do parâmetro _from em uma URL; e CVE-2025-68461, com pontuação CVSS de 7.2, que permite a execução de scripts entre sites via a tag animate em documentos SVG. Ambas as falhas foram corrigidas, a primeira em junho de 2025 e a segunda em dezembro do mesmo ano. A empresa de cibersegurança FearsOff, que descobriu a CVE-2025-49113, alertou que a vulnerabilidade foi rapidamente explorada e disponibilizada para venda em um curto espaço de tempo após a divulgação pública. Embora não haja informações sobre os responsáveis pela exploração, o histórico de ataques a software de email sugere que atores de ameaças de nações, como APT28, possam estar envolvidos. As agências do Federal Civilian Executive Branch (FCEB) têm até 13 de março de 2026 para remediar as vulnerabilidades identificadas, a fim de proteger suas redes contra essa ameaça ativa.