Die US-Behörde CISA hat zwei kritische Schwachstellen in der Webmail-Software Roundcube in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen. Angreifer haben die Lücken bereits innerhalb von 48 Stunden nach der Veröffentlichung weaponisiert.
Die US-Cybersecurity and Infrastructure Security Agency (CISA) hat am Freitag zwei Sicherheitslücken in der Roundcube-Webmail-Software in ihren Katalog der bekanntermaßen ausgenutzten Sicherheitslücken (KEV) aufgenommen. Die Einstufung basiert auf nachgewiesenen aktiven Exploits in freier Wildbahn.
Wie das auf Cybersicherheit spezialisierte Unternehmen FearsOff aus Dubai berichtet, haben Angreifer die als CVE-2025-49113 katalogisierte Schwachstelle bereits innerhalb von 48 Stunden nach deren öffentlicher Bekanntmachung in funktionierende Exploit-Tools verwandelt. Nur wenige Tage später, am 4. Juni 2025, wurde ein funktionierendes Exploit-Programm zum Verkauf angeboten.
Unternehmensgründer und CEO Kirill Firsov, der die Lücke entdeckt und gemeldet hatte, betont ein besonders kritisches Detail: Die Schwachstelle lässt sich zuverlässig auch auf Standard-Installationen ausnutzen. Hinzu kommt, dass der fehlerhafte Code bereits über zehn Jahre im System vorhanden war, ohne entdeckt zu werden.
Über die Identität der Akteure hinter der Ausnutzung der beiden Roundcube-Flaws liegen derzeit keine Details vor. Allerdings ist bekannt, dass staatliche Hacker-Gruppen wie APT28 und Winter Vivern in der Vergangenheit bereits mehrfach Schwachstellen in dieser E-Mail-Software für ihre Kampagnen missbraucht haben.
Für Behörden der Federal Civilian Executive Branch (FCEB) gilt eine verbindliche Frist: Alle betroffenen Systeme müssen bis zum 13. März 2026 aktualisiert werden, um sich vor den aktiven Bedrohungen zu schützen.
Quelle: The Hacker News