roundcube'da aktif sömürülen iki kritik açık, cisa kataloğuna ekledi
roundcube’da aktif sömürülen iki kritik açık, cisa kataloğuna ekledi
arkadaşlar, cuma günü cisa (amerikan siber güvenlik ajansı) roundcube mail sunucusunda aktif olarak sömürülen iki açığı kev kataloğuna ekledi. yani bu açıklar teorik değil, gerçekten kullanılıyor şu an.
spoiler: roundcube kullanıyorsanız hemen yamalayın, yoksa mail sunucunuz ele geçirilebilir.
ne var ne yok bu açıklarda
iki tane zafiyet var ortada:
CVE-2025-49113 - cvss skoru 9.9, yani kritik seviyede 🔴
- güvenilmeyen verinin deserializasyonu (deserialization of untrusted data) denen klasik açık var
- uzaktan kod çalıştırma (rce) imkanı sunuyor
- saldırgan mail sunucunuzda istediği komutu çalıştırabilir
CVE-2025-XXXXX (ikinci açık) - detaylar henüz tam açıklanmamış ama cisa eklediyse ciddiyedir
kısacası: bu açıklar sayesinde saldırganlar mail sunucunuza sızıp istediği gibi dolaşabilir, mail okuyabilir, kullanıcı bilgilerini çalabilir.
kimler etkileniyor
| Sistem | Durum |
|---|---|
| Roundcube webmail | ✅ Etkileniyor |
| Diğer mail sunucuları | ❌ Etkilenmiyor |
not: roundcube açık kaynaklı popüler bir webmail uygulaması. php tabanlı, imap/smtp üzerinden çalışır. çoğu hosting firması kullanır.
ne yapmanız lazım
1. önce versiyonunuzu kontrol edin
# roundcube dizinine gidin
cd /var/www/roundcube
# versiyon kontrolü
grep version index.php
# veya
cat composer.json | grep version
2. güncellemeyi hemen yapın
# yedek alın önce (bunu atlamayın!)
tar -czf roundcube-backup-$(date +%Y%m%d).tar.gz /var/www/roundcube
mysqldump -u roundcube_user -p roundcube_db > roundcube-db-backup-$(date +%Y%m%d).sql
# güncel versiyonu indirin
wget https://github.com/roundcube/roundcubemail/releases/download/1.6.x/roundcubemail-1.6.x-complete.tar.gz
# kurulumu yapın (dökümantasyonu takip edin)
# her sistemde farklı olabilir
3. güncelleme sonrası kontrol
# log dosyalarını kontrol edin
tail -f /var/log/roundcube/errors.log
# servisin çalıştığından emin olun
systemctl status apache2 # veya nginx
geçici çözüm (acil durum için)
eğer hemen güncelleyemiyorsanız:
1. roundcube’u geçici olarak kapatın
# apache için
a2dissite roundcube.conf
systemctl reload apache2
# nginx için
mv /etc/nginx/sites-enabled/roundcube.conf /etc/nginx/sites-available/
systemctl reload nginx
2. firewall seviyesinde kısıtlama yapın
# sadece bilinen ip'lerden erişime izin verin
iptables -A INPUT -p tcp --dport 80 -s GUVENLI_IP_ADRESI -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -s GUVENLI_IP_ADRESI -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j DROP
3. waf kuralları ekleyin
- mod_security kullanıyorsanız deserialization saldırılarını engelleyen kurallar ekleyin
- rate limiting yapın
edit: ama bunlar geçici çözüm, asıl çözüm güncellemedir. ertelemeyin.
saldırı göstergelerine bakın
# access loglarında şüpheli istekler arayın
grep -i "unserialize\|eval\|base64_decode" /var/log/apache2/access.log
grep -i "POST.*index.php" /var/log/apache2/access.log | grep -v "known_good_ips"
# roundcube loglarını kontrol edin
grep -i "error\|warning\|fatal" /var/log/roundcube/errors.log
cisa’nın uyarısı
cisa bu açıkları kev (known exploited vulnerabilities) kataloğuna ekledi. bu demek oluyor ki:
- aktif olarak sömürülüyor (teorik değil, gerçek saldırılar var)
- federal kurumlar için zorunlu yamalama süresi var (genelde 2-3 hafta)
- sizin için de zorunlu olmalı aslında, federal kurum olmasanız bile
kaynaklar
- CISA KEV Kataloğu
- Roundcube Security Advisory
- CVE-2025-49113 Detayları
- The Hacker News - Orijinal Haber
son söz
agalar, mail sunucusu ele geçirmek saldırganlar için altın madeni gibidir. tüm iletişimi okurlar, kullanıcı bilgilerini çalarlar, oradan da ağın içine sızarlar.
roundcube kullanıyorsanız hemen yamalayın. kullanmıyorsanız bile mail sunucunuzu kontrol edin, belki farkında değilsinizdir.
yedek alın, test ortamında deneyin, sonra production’a alın. ama ertelemeyin bu işi.
bkz: mail sunucusu güvenliği bkz: cisa kev kataloğu bkz: deserialization zafiyetleri
Bu içerik AI tarafından oluşturulmuştur.