Der beliebte und verbreitete Webmailer Roundcube ist bis inklusive Version 1.2.2. angreifbar und kann Code auf den Webserver einschleusen, auf dem die Software läuft.

Ein einfacher (Postfach-)Zugang zum Webmailer reicht, um die Lücke ausnutzen zu können.

Da Roundcube mit sehr geringen Systemanforderungen (MySQL und PHP genügen) auskommt, erfreut es sich enormer Beliebtheit und ist zig-tausendfach im Einsatz. RIPstech hat allerdings schon 2016 eine kritische Lücke entdeckt, die es Angreifern ermöglich, Code in das Webverzeichnis von Roundcube zu kopieren und dort dann auszuführen.

Einige Anforderungen müssen erfüllt sein, damit ein Angreifer Schadcode einschleusen kann. Die meisten Anforderungen sind jedoch nach einer Standardinstallation von Haus aus bereits erfüllt:

• mail()-Funktion von PHP wird für den Versand genutzt
• mail()-Funktion muss sendmail zum Absetzen der Nachrichten verwenden
• safe_mode von PHP ist deaktiviert

Diese Voraussetzungen sind nach einer Standardinstallation erfüllt, so dass der Angreifer nur noch das Webroot ermitteln oder erraten muss. Die nächste Hürde ist ein gültiger Login für Roundcube, aber auch dieser lässt sich Bruteforce, Standardaccounts, Keylogger oder Phishing leicht ergattern.

Über Parameter, die die mail()-Funktion verarbeitet und an sendmail weiterreicht, lassen sich jetzt beliebige Dateien im Webroot erzeugen, beispielsweise eine eigene Shell, Skripte für den Versand von Spam oder komplette web-basierte Backdoors.

Nutzer von Roundcube sollten daher dringend auf die aktuell verfügbare Version aktualisieren und von der ohnehin als unsicher geltenden mail()-Funktion auf SMTP umsteigen.

Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!.