TL;DR

CERT Polska wykrył kampanię mailową wymierzoną w polskie podmioty, wykorzystującą podatność CVE-2024-42009 w oprogramowaniu Roundcube1. Równocześnie opublikowana została druga podatność — CVE-2025-49113 — pozwalająca na zdalne wykonanie kodu przez uwierzytelnionego użytkownika2. Połączenie obu wektorów może prowadzić do pełnego przejęcia kontroli nad serwerem3. CERT Polska rekomenduje natychmiastową aktualizację do wersji 1.6.11 lub 1.5.104.

W skrócie: Jeśli Twoja organizacja używa Roundcube — webowego klienta poczty — musisz działać dziś. Atakujący wysyłają e-maile z fałszywymi tematami (np. „[!WAZNE] Faktura do numeru rezerwacji”), które instalują w przeglądarce kod kradzący hasła. Potem mogą przejąć cały serwer poczty.

Wektor ataku: JavaScript w mailu + Service Worker

Atak przebiega w dwóch fazach, każda wykorzystuje inną podatność.

Faza 1: Kradzież poświadczeń przez XSS

Podatność CVE-2024-42009 umożliwia wykonanie kodu JavaScript w momencie odczytania maila5. Podatność została odkryta przez badaczy Sonar w zeszłym roku6, ale jest to pierwszy przypadek, gdy tę technikę stosuje klaster UNC11517.

Atakujący rozesłali e-maile z tytułem mającym nakłonić odbiorcę do podjęcia szybkiego działania8 — przykładowo: „[!WAZNE] Faktura do numeru rezerwacji: S2500650676”9. Gdy użytkownik otwiera wiadomość w przeglądarce, błąd w Roundcube pozwala na wykonanie dowolnego kodu JavaScript w kontekście użytkownika10.

Na podkreślenie zasługuje wykorzystanie mechanizmu Service Worker11. Złośliwy kod instaluje Service Worker w przeglądarce użytkownika12 — to mechanizm pozwalający na uruchomienie kodu JavaScript w tle i przechwytywanie wszystkich zapytań kierowanych z przeglądarki do domeny13.

Po poprawnej instalacji użytkownik jest przenoszony na stronę logowania do poczty14. Service Worker przechwytuje wszystkie próby zalogowania do aplikacji Roundcube i przesyła kopię wprowadzonych danych logowania na serwer atakujących15.

Faza 2: Przejęcie infrastruktury

Po uzyskaniu poświadczeń atakujący analizuje zawartość skrzynki, pobiera książkę adresową i w niektórych przypadkach używa przejętego maila do dalszej wysyłki wiadomości16.

Tutaj wchodzi druga podatność. CVE-2025-49113 pozwala na zdalne wykonanie kodu na serwerze przez uwierzytelnionego użytkownika poczty2. Oznacza to, że gdy atakujący zaloguje się na przejęte konto, może uruchomić dowolny kod na serwerze Roundcube — i stąd już droga do pełnego przejęcia infrastruktury.

Połączenie tych dwóch wektorów może prowadzić do pełnego przejęcia kontroli nad serwerem3.

Atrybucja: UNC1151 — grupa powiązana z Białorusią

Wskaźniki techniczne pozwalają z wysokim prawdopodobieństwem wiązać te działania ze zbiorem aktywności UNC115117. Według publikacji firm Mandiant i Google grupa UNC1151 jest łączona z rządem Białorusi, a według innych źródeł ma również związek z rosyjskimi służbami specjalnymi18.

Kontekst: Roundcube to problem od lat

Zespół CERT Polska, badając webowe klienty poczty elektronicznej polskich dostawców w latach 2021-2022, znalazł i zgłosił ponad 20 podatności XSS (Cross-Site Scripting) wykorzystywanych podczas odczytywania wiadomości e-mail19.

Roundcube — popularne rozwiązanie open-source dla polskich firm MŚP i dostawców usług hostingowych — od lat boryka się z lukami XSS. Tym razem jednak kombinacja dwóch podatności tworzy łańcuch ataku, który może doprowadzić do całkowitej kompromitacji infrastruktury.

Wskaźniki kompromitacji (IoC)

# Adresy nadawców
irina.vingriena@gmail.com
julitaszczepanska38@gmail.com

# Temat wiadomości
[!WAZNE] Faktura do numeru rezerwacji: S2500650676

# SHA256 złośliwego pliku JS
70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd149

# Domena do przesyłania poświadczeń
a.mpk-krakow.pl

# Adres źródłowy serwera SMTP
2001:67c:e60:c0c:192:42:116:216

Atakujący wykorzystywali domenę a.mpk-krakow.pl do przesyłania poświadczeń20. Adres źródłowy serwera SMTP to 2001:67c:e60:c0c:192:42:116:21621.

Co zrobić w 24-48 godzin

Dla administratorów Roundcube

  1. Aktualizacja — TERAZ4

    • Zaktualizuj Roundcube do wersji 1.6.11 lub 1.5.10 (w zależności od gałęzi, którą używasz).
    • Jeśli nie możesz zaktualizować natychmiast — wyłącz dostęp do Roundcube z publicznego internetu (np. przez VPN).

  2. Przeszukaj logi

    • Szukaj e-maili od irina.vingriena@gmail.com i julitaszczepanska38@gmail.com.
    • Szukaj logów dostępu z adresu 2001:67c:e60:c0c:192:42:116:216.
    • Szukaj pliku JS o hashu 70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd14922.

  3. Zresetuj hasła

    • Jeśli wykryto ślady ataku — zmień hasła do wszystkich kont poczty, szczególnie administratorów.
    • Wymuś zmianę haseł dla wszystkich użytkowników (jeśli to możliwe).

  4. Sprawdź Service Workery

    • W przeglądarce (DevTools → Application → Service Workers) sprawdź, czy nie ma podejrzanych Service Workerów zainstalowanych dla domeny Roundcube.
    • Wyczyść cache i Service Workery.

Dla użytkowników

  • Nie otwieraj e-maili z podejrzanymi tematami (szczególnie wzywającymi do pilnego działania, np. fałszywe faktury i rezerwacje) od nieznanych nadawców.
  • Włącz 2FA (uwierzytelnianie dwuetapowe) na swoim koncie poczty — nawet jeśli hasło zostanie skradzione, atakujący nie będzie mógł się zalogować.
  • Zgłoś incydent, jeśli podejrzewasz, że Twoje konto zostało przejęte.

Zgłoszenie incydentu

Jeśli Twoja organizacja została zaatakowana:

CSIRT NASK — incydent.cert.pl23 CSIRT MON — [email protected]24 CSIRT GOV — [email protected]25

Zgłoszenie powinno zawierać:

  • Daty i godziny podejrzanych logowań.
  • Logi dostępu do kont poczty.
  • Informacje o tym, czy atakujący uzyskali dostęp do danych.

Podsumowanie

Atak UNC1151 na polskie firmy przez Roundcube to nie przypadek — to celowa kampania wymierzona w infrastrukturę. Kombinacja XSS + Service Worker + RCE tworzy łańcuch, który może doprowadzić do całkowitej kompromitacji serwera poczty.

Aktualizacja jest pilna. Jeśli Twoja organizacja używa Roundcube — nie czekaj na kolejny tydzień. Zrób to dziś.

Źródła

Zobacz też

Footnotes

  1. CERT Polska wykrył kampanię mailową na polskie podmioty wykorzystującą CVE-2024-42009 w Roundcube — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  2. CVE-2025-49113 pozwala na zdalne wykonanie kodu na serwerze przez uwierzytelnionego użytkownika poczty — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/ 2

  3. Połączenie obu wektorów może prowadzić do pełnego przejęcia kontroli nad serwerem — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/ 2

  4. CERT Polska rekomenduje natychmiastową aktualizację Roundcube do wersji 1.6.11 lub 1.5.10 — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/ 2

  5. CVE-2024-42009 umożliwia wykonanie kodu JavaScript w momencie odczytania maila — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  6. Podatność CVE-2024-42009 została odkryta przez badaczy Sonar — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  7. To pierwszy zaobserwowany przypadek użycia tej techniki przez klaster UNC1151 — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  8. Atakujący rozesłali e-maile z tytułem nakłaniającym do szybkiego działania — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  9. Przykładowy temat wiadomości: „[!WAZNE] Faktura do numeru rezerwacji: S2500650676” — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  10. Otwarcie wiadomości w przeglądarce pozwala na wykonanie dowolnego kodu JavaScript w kontekście użytkownika — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  11. Kampania wyróżnia się wykorzystaniem mechanizmu Service Worker — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  12. Złośliwy kod instaluje Service Worker w przeglądarce użytkownika — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  13. Service Worker pozwala uruchamiać JavaScript w tle i przechwytywać zapytania kierowane do domeny — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  14. Po instalacji użytkownik jest przenoszony na stronę logowania do poczty — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  15. Service Worker przechwytuje próby logowania do Roundcube i przesyła dane logowania na serwer atakujących — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  16. Po uzyskaniu poświadczeń atakujący analizuje skrzynkę, pobiera książkę adresową i używa konta do dalszej wysyłki — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  17. Wskaźniki techniczne pozwalają z wysokim prawdopodobieństwem wiązać działania ze zbiorem aktywności UNC1151 — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  18. Według publikacji Mandiant i Google grupa UNC1151 jest łączona z rządem Białorusi — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  19. CERT Polska w latach 2021-2022 zgłosił ponad 20 podatności XSS w webowych klientach poczty polskich dostawców — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  20. Atakujący wykorzystywali domenę a.mpk-krakow.pl do przesyłania poświadczeń — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  21. Adres źródłowy serwera SMTP atakującego: 2001:67c:e60:c0c:192:42:116:216 — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  22. SHA-256 złośliwego pliku JS: 70cea07c972a30597cda7a1d3cd4cd8f75acad75940ca311a5a2033e6a1dd149 — https://cert.pl/posts/2025/06/unc1151-kampania-roundcube/

  23. Zgłaszanie incydentów do CSIRT NASK — https://incydent.cert.pl/

  24. Kontakt do CSIRT MON — adres zgłaszania incydentów (do weryfikacji redakcyjnej)

  25. Kontakt do CSIRT GOV — adres zgłaszania incydentów (do weryfikacji redakcyjnej)