Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Олег Иванов 08 Декабря 2016 - 10:29

...

Хакеры могут использовать уязвимость в Roundcube, просто отправив email

Исследователи обнаружили критическую уязвимость в почтовом клиенте с открытым исходным кодом Roundcube. Она позволяет выполнить произвольные команды на системе, просто отправив электронное письмо.

Недостаток был обнаружен фирмой RIPS Technologies и связан с функцией PHP mail(), которая используется для отправки электронной почты. При вызове этой функции PHP выполняет программу командной строки sendmail.

Проблема заключается в том, что пользовательский ввод не обрабатывается должным образом в пятом параметре функции mail(). Это позволяет злоумышленнику передавать произвольные аргументы. Об этой уязвимости было известно уже более двух лет, однако разработчики Roundcube упустили ее из вида.

По словам RIPS, злоумышленник может создать вредоносный PHP-файл в корневом каталоге веб-системы, выполнив Sendmail с опцией -X, которая используется для логирования всего почтового трафик в специальном файле. Такой PHP-файл может позволить хакеру выполнять команды и проводить различные махинации, например, чтение электронной почты или получение доступа к другим системам в сети.

RIPS объясняют, что брешь может быть использована злоумышленником, который имеет доступ к целевой системе и может посылать электронную почту со скомпрометированной машины. После получения доступа, злоумышленник может использовать брешь, введя специальный код в поле «От».

Есть несколько условий, которые должны быть соблюдены для того, чтобы уязвимость сработала. Во-первых, Roundcube должен быть настроен на использование функции mail(), во-вторых, функция mail() должна быть настроена на использование sendmail. Кроме того, в PHP должен быть отключен safe_mode и злоумышленник должен знать абсолютный путь к корневой папке.

Тем не менее, такие конфигурации по умолчанию далеко не редкость и эксперты считают, что существуют десятки или сотни тысяч уязвимых систем. Roundcube был загружен с сайта SourceForge более чем 260000 раз только в 2016 году.

С выпуском версий Roundcube 1.2.3 и 1.1.7 проблема была решена.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Читайте также

Взломан сайт аэропорта Пулково

Яков Шпунт 19 Сентября 2025 - 14:09

Атаки на сайты Взлом сайтов Кибервойны Целевые атаки Таргетированные атаки Общее

Аэропорт Пулково сообщил о взломе официального сайта. При этом сам аэропорт продолжает работать в штатном режиме. Сначала при заходе на сайт пользователи видели сообщение о технических работах, а позже страница начала перенаправлять на онлайн-табло Яндекса.

«Сайт аэропорта Пулково сегодня был взломан. Его работа на данный момент ограничена. Приносим извинения за временные неудобства. Ведутся работы по восстановлению», — сообщили в телеграм-канале Пулково.

Как уточнили в пресс-службе аэропорта, атака не затронула другие системы: приём и отправка рейсов проходит без сбоев.

«Взлом сайта — это не взлом компании. Да, подобные случаи заметны и сразу попадают в новости, но сам сайт — лишь точка входа. Если инфраструктура выстроена правильно, дальше дело не пойдёт. Обычно сайты размещаются в изолированной среде и имеют только необходимые подключения к внешним сервисам. Поэтому пока причин для паники нет», — прокомментировал ТАСС Сергей Полунин, глава группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Напомним, днём ранее сообщалось о сбое в работе авиакомпании «КрасАвиа», с большой вероятностью вызванном кибератакой.

В конце июля также произошла атака на «Аэрофлот», ответственность за которую взяли две проукраинские хактивистские группировки. Тогда были отменены несколько десятков рейсов.