84.500 instancias vulnerables: los hackers ya saben dónde atacar, es solo cuestión de tiempo

Una vulnerabilidad crítica CVE-2025-49113 en Roundcube, una de las plataformas de correo web de código abierto más populares, resultó estar expuesta a ataques en más de 84 000 instalaciones en todo el mundo. El problema afecta a las versiones desde la 1.1.0 hasta la 1.6.10 inclusive, lo que abarca más de diez años de desarrollo y actualizaciones.

La vulnerabilidad fue descubierta y divulgada por el investigador en seguridad Kirill Firsov. Consiste en la falta de un filtrado adecuado del valor del parámetro _from, transmitido a través de $_GET, lo que permite al atacante iniciar una deserialización de objetos en PHP. Esto abre la vía para la corrupción de sesión si sus claves comienzan con un signo de exclamación, una peculiaridad sobre la cual se basa la técnica del ataque.

El problema fue corregido el 1 de junio de 2025 con el lanzamiento de las versiones Roundcube 1.6.11 y 1.5.10. Sin embargo, poco después de la publicación de las actualizaciones, los atacantes analizaron los cambios, rápidamente desarrollaron un exploit y comenzaron a venderlo en foros clandestinos. A pesar de que la explotación de la vulnerabilidad requiere autenticación, los atacantes afirman que pueden obtener acceso mediante ataques CSRF, análisis de registros o fuerza bruta de contraseñas.

Firsov publicó un análisis técnico detallado de la vulnerabilidad en su blog, con el objetivo de ayudar a los administradores de servidores a protegerse contra una posible explotación. Dado el amplio uso de Roundcube, el riesgo de ataques se considera extremadamente alto.

La plataforma Roundcube se utiliza activamente en el sector de hosting (incluidas plataformas como GoDaddy, Hostinger y OVH), así como en instituciones educativas, organismos gubernamentales y empresas tecnológicas. Según datos de The Shadowserver Foundation, que se dedica a la monitorización de amenazas, al 8 de junio de 2025 había 84 925 instalaciones vulnerables expuestas en internet.

La mayor cantidad de estas instalaciones se ha detectado en EE. UU. (19 500), India (15 500), Alemania (13 600), Francia (3 600), Canadá (3 500) y Reino Unido (2 400). Sin embargo, la cifra real de instancias vulnerables podría ser aún mayor si se tienen en cuenta las redes cerradas y las instalaciones privadas.

Dado que la vulnerabilidad puede dar acceso potencial a correos electrónicos, credenciales de cuentas y otros datos sensibles, la situación actual representa una grave amenaza para la seguridad de la información.

Se recomienda encarecidamente a los administradores de sistemas que actualicen lo antes posible a las versiones 1.6.11 o 1.5.10. En caso de no poder actualizar, se sugiere limitar temporalmente el acceso al webmail, desactivar la posibilidad de cargar archivos, activar la protección contra ataques CSRF, bloquear la ejecución de funciones PHP potencialmente peligrosas y monitorear señales de posible explotación.

Por ahora se desconoce si los exploits para CVE-2025-49113 ya se están utilizando en ataques reales, pero según la información disponible, se espera que pronto comiencen intentos de explotación a gran escala.