Roundcubeは、IMAPを用いたWebメールクライアントのひとつです。
というか、昨日もこのソフトウェアのことを話題にしました。
ずっと以前からある脆弱性が確認されているので、すぐに更新しましょう、という内容でした。
そして、この脆弱性の発見者は責任ある情報開示を進めるべく、詳細情報の開示は時間差を持って実施しようと進めている、というのが昨日の時点の状態でした。
事態は急速に変化しました。
- Roundcubeのエクスプロイト販売開始
アンダーグラウンドフォーラムで、脅威アクターがRoundcubeのエクスプロイトの販売を開始しました。
昨日の時点でも概念実証ができたというような情報をフォーラムに書き込む人がいたことは確認されていたのですが、ついにその脆弱性を悪用する実装が作成されエクスプロイトとして販売が開始されたのです。
脆弱性の発見のニュースからの時間差は、ほとんどなかったことになります。 - 技術詳細の公開
すでに脆弱性を悪用したエクスプロイトが販売開始されてしまった以上、研究者は把握した技術情報をこれ以上公開しない理由はなくなってしまいました。
研究者は技術情報の公開に踏み切りました。
本当であれば、その技術情報は関係者にのみ公開されて、十分な安全期間を経てから一般に公開されるということが予定されていました。
しかし、今回のケースでは、そのような流れで進めることはできませんでした。
研究者の公開しているコンテンツは、URLもタイトルも機能と変わっていませんが、内容は大きく更新されています。
そして、そのコンテンツの冒頭で悲痛なコメントが掲載されています。
「この研究は当初、責任ある情報開示期間の終了後に公開される予定でした。しかし、GitHub上でパッチが急速に公開され、攻撃者が48時間以内に脆弱性の差分を解析して武器化してしまったため、技術的な詳細は、もはや事実上非公開ではなくなりました。」
脆弱性の悪用は、世界のどこかで起こっている遠い出来事、ではありません。
身の回りにある いろいろなシステムがその危険にさらされた状態です。
利用者・運用者にできることは、健全な運用です。
パッチケイデンスの妥当な維持が身を守ることになります。
Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization [CVE-2025-49113]
https://fearsoff.org/research/roundcube
| この記事をシェア |
|
|---|
