RoundcubeのRCE脆弱性、ダークウェブ上でエクスプロイトが販売される(CVE-2025-49113) | Codebook|Security News
セキュリティニュース
サイバーインテリジェンス
特集
情報セキュリティ
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > RoundcubeのRCE脆弱性、ダークウェブ上でエクスプロイトが販売される(CVE-2025-49113)

デイリーサイバーアラート

Silobreaker-CyberAlert

脆弱性

RoundcubeのRCE脆弱性、ダークウェブ上でエクスプロイトが販売される(CVE-2025-49113)

nosa

nosa

2025.06.10

2025年6月10日:サイバーセキュリティ関連ニュース

RoundcubeのRCE脆弱性、ダークウェブ上でエクスプロイトが販売される(CVE-2025-49113)

Help Net Security – June 9, 2025

無料メールクライアントRoundcubeの重大な脆弱性(CVE-2025-49113)のエクスプロイトが不法フォーラムで販売されている。すでにPoCも公開されているため、この脆弱性が今後の攻撃に悪用される、あるいはすでに悪用されている可能性があるとして注意喚起がなされた。

Roundcubeは標準的なWebサーバー(通常はApacheまたはNginxを実行するLinuxサーバー)でPHPおよびMySQLやPostgreSQLなどのデータベースとともに動作するよう設計されたオープンソースのWebメーラーで、IMAPメールサーバーへの接続設定が完了するとWebブラウザからログインしてEメールの送受信が可能になる。個人や学術機関、政府機関、医療機関、Webホスティングプロバイダー、NGOの間で広く利用されていることから、国家支援型のサイバースパイ活動にとってはRoundcubeの脆弱性が貴重なツールになってきた。

今回の脆弱性CVE-2025-49113はRoundcubeのバージョン1.5.9以前、およびバージョン1.1.0〜1.6.10に影響を与えるリモートコード実行(RCE)の欠陥で、2025年6月1日にバージョン1.5.10と1.6.11で修正された。しかし、パッチ公開直後にハッカーがこれをリバースエンジニアリングし、有効なエクスプロイトを開発して不法フォーラムで販売。CVE-2025-49113の悪用には認証が必要とされるが、攻撃者はCSRFやログスクレイピング、またはブルートフォース攻撃によって有効な認証情報を取得できると主張している。

非営利セキュリティ組織Shadowserver Foundationによると、標的になり得るインスタンスは数多く存在し、パッチ未適用のままネットに接続されているシステムが6月8日時点で米国やインド、ドイツ、フランス、カナダ、英国を中心に84,925件検出されたという。

 

関連記事

デイリーサイバーアラート

Silobreaker-CyberAlert

脆弱性

Roundcubeに10年来の重大な脆弱性、認証済みユーザーによる有害コードの実行が可能に:CVE-2025-49113

佐々山 Tacos

佐々山 Tacos

2025.06.04

Silobreaker-CyberAlert

脆弱性

Google、アカウント復旧用の電話番号を開示するバグを修正

TechCrunch – June 9, 2025

セキュリティ研究者「brutecat」により、ほぼすべてのGoogleアカウントの復旧用電話番号を所有者に気付かれずに開示できるバグが発見された。

TechCrunchによると、Googleは4月にbrutecatから報告を受け、このバグを修正したとのこと。悪用時には標的アカウントの表示名のフルネームでの漏洩や、Googleがパスワードリセットリクエストの有害スパムを防ぐために実装したアンチボット保護メカニズムの回避など、複数の独立したプロセスを連動させる「攻撃チェーン」が使われるという。

攻撃ではレート制限を回避することにより、Googleアカウントの電話番号のあらゆる組み合わせを短時間で繰り返し試行。スクリプトを使って攻撃フローを自動化することで、早ければ20分以内にブルートフォース攻撃で復旧用の電話番号を取得できたとされている。

TechCrunchはテストとして、これまで使用したことのない電話番号で新しいGoogleアカウントを作成し、そのアカウントのメールアドレスをbrutecatに提供したところ、ほどなくして正しい番号が送り返されてきたと記している。

Googleの広報担当は「当社は脆弱性報奨金プログラムを通じ、セキュリティ研究コミュニティと協力することの重要性を常に強調している」とコメント。バグを発見したBrutecatに謝意を伝えた上で、5,000ドルの報奨金を支払ったようだ。

【無料配布中!】ディープ&ダークウェブ関連レポート

弊社が作成したレポートディープ&ダークウェブにおけるSNSアカウント売買とディープフェイクを無料配布中です!

ネット上の匿名性を悪用した不正や犯罪が日本においても大きな脅威となる中、弊社アナリストが過去 1 年間のディープ & ダークウェブ上の投稿データを調査。「SNS アカウント売買」「ディープフェイク」という切り口から、ネット上の匿名性を悪用する脅威アクターらの実態をレポートにまとめました。

無料ダウンロードはこちらのバナーから:

レポートの内容

第1章:アカウント売買・貸与

  • 中国語アカウントマーケット
  • 英語 Black Hat SEO 関連フォーラム
  • 英語「デジタル権利マーケット」
  • ロシア語 SMM ツールフォーラム
  • 英語暗号資産関連フォーラム
  • ロシア語ハッキングフォーラム

第2章:ディープフェイク

  • DDW で言及されたディープフェイク
  • ディープフェイク関連の特筆すべき投稿

Special Feature特集記事

セミナー情報一覧へ ANALYST CHOICEの記事一覧へ

Cyber Intelligenceサイバーインテリジェンス

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ

Security情報セキュリティ

このカテゴリーの記事一覧へ
このカテゴリーの記事一覧へ