Roundcube Webmail’de Aktif İstismar Edilen 2 Kritik Güvenlik Açığı KEV Kataloğuna Eklendi

Anasayfa » Roundcube Webmail’de Aktif İstismar Edilen 2 Kritik Güvenlik Açığı KEV Kataloğuna Eklendi
APT, Zafiyetler
Şubat 26, 2026Şubat 26, 2026Tarafından Cybernews.TR
0
Roundcube Webmail’de Aktif İstismar Edilen 2 Kritik Güvenlik Açığı KEV Kataloğuna Eklendi

Saldırının Genel Çerçevesi

Roundcube webmail platformunda bulunan iki önemli güvenlik açığı, aktif olarak kötü niyetli saldırganlar tarafından istismar edilmekte. Bu zafiyetler, kimlik doğrulaması yapılmış kullanıcıların sistem üzerinde uzaktan kod çalıştırmasına ve SVG dosyaları üzerinden çapraz site betikleme (XSS) saldırılarına imkan veriyor. CISA, bu açıkları Bilinen İstismar Edilen Güvenlik Açıkları (KEV) kataloğuna ekleyerek kurumları uyardı.

Saldırı Zinciri ve Teknik Detaylar

İlk kritik açık CVE-2025-49113 olarak tanımlanıyor ve program/actions/settings/upload.php dosyasındaki _from parametresinin yeterince doğrulanmaması nedeniyle ortaya çıkıyor. Bu durum, güvenilmeyen veri serileştirme zafiyetiyle birleşerek kimlik doğrulaması yapılmış kullanıcıların uzaktan kod çalıştırmasına olanak sağlıyor. Zafiyet Haziran 2025’te yamalandı ancak saldırı araçları 4 Haziran 2025’te piyasaya sürüldü.

İkinci açık ise CVE-2025-68461 koduyla Aralık 2025’te kapatılan ve SVG dosyalarındaki animate etiketi üzerinden gerçekleşen XSS açığıdır. Bu zafiyet, kötü niyetli SVG içeriklerinin kullanıcı tarayıcılarında çalıştırılmasına izin veriyor.

Hangi Sistemler Risk Altında?

Roundcube webmail kullanan kurumlar, özellikle kamu kurumları ve finans sektöründeki kuruluşlar risk altında. Federal Sivil Yürütme Dalları (FCEB) gibi devlet kurumları, bu açıkları 13 Mart 2026’ya kadar kapatmakla yükümlü. Ayrıca, APT28 ve Winter Vivern gibi devlet destekli tehdit aktörlerinin benzer e-posta yazılımı açıklarını daha önce hedef aldığı biliniyor.

Siber Güvenlik Ekipleri İçin Öneriler

  • İlgili CVE’ler için yayımlanan yamaları derhal uygulayın.
  • E-posta güvenliği çözümlerinde anomalileri izlemek için gelişmiş EDR ve SIEM sistemlerini devreye alın.
  • Webmail sunucularında _from parametresi gibi kullanıcı girdilerinin doğrulanmasını sıkılaştırın.
  • SVG ve diğer dosya yükleme işlemlerinde içerik filtreleme ve sandbox uygulamalarını kullanın.
  • Çok faktörlü kimlik doğrulama (MFA) ile kimlik doğrulama süreçlerini güçlendirin.
  • Ağ segmentasyonu ile kritik sistemleri izole ederek saldırı yüzeyini azaltın.
  • Olay müdahale (incident response) planlarını güncelleyerek bu tür zafiyetlere karşı hazırlıklı olun.
  • Loglarda özellikle upload.php erişimlerini ve şüpheli SVG dosyası aktivitelerini detaylı takip edin.

Teknik Özet

  • Kullanılan zafiyetler: CVE-2025-49113 (uzaktan kod çalıştırma), CVE-2025-68461 (XSS)
  • Saldırı zinciri: Kimlik doğrulaması sonrası kötü amaçlı veri yüklemesi ve SVG dosyası aracılığıyla tarayıcıda kod çalıştırma
  • Hedef sektörler: Kamu kurumları, finans, kritik altyapılar
  • Kullanılan araçlar: İstismar araçları 4 Haziran 2025’te piyasaya sürüldü
  • Önerilen savunma: Yama uygulaması, MFA, EDR, SIEM entegrasyonu, ağ segmentasyonu

Roundcube gibi yaygın kullanılan e-posta platformlarındaki güvenlik açıkları, e-posta güvenliği ve bulut güvenliği alanlarında sürekli dikkat gerektiriyor. Bu tür zafiyetlerin erken tespiti ve hızlı müdahalesi, fidye yazılımı gibi daha karmaşık saldırıların önüne geçilmesinde kritik rol oynuyor.

, , , , , , ,