CISA, 두 개의 활발히 악용되는 Roundcube 취약점을 KEV 카탈로그에 추가

Source: The Hacker News

KEV 카탈로그에 추가된 취약점

미국 사이버보안 및 인프라 보안청(CISA)은 Known Exploited Vulnerabilities (KEV) 카탈로그에 Roundcube 웹메일 소프트웨어에 영향을 미치는 두 개의 활발히 악용되는 취약점을 추가했으며, 지속적인 악용 증거를 제시했습니다.

• CVE‑2025‑49113 – CVSS 9.9
  신뢰할 수 없는 데이터 역직렬화로 인해 인증된 사용자가 원격 코드 실행을 할 수 있습니다. program/actions/settings/upload.php 파일의 from 매개변수가 검증되지 않기 때문입니다. 2025년 6월 릴리스에서 수정되었습니다.

• CVE‑2025‑68461 – CVSS 7.2
  SVG 문서 내 animate 태그를 통한 교차 사이트 스크립팅 취약점입니다. 2025년 12월 릴리스에서 수정되었습니다.

악용 활동

두바이에 본사를 둔 사이버보안 업체 FearsOff(설립자 Kirill Firsov가 CVE‑2025‑49113을 보고함)는 공격자들이 공개된 지 48시간 이내에 “취약점을 차별화하고 무기화”했음을 확인했습니다. 해당 익스플로잇은 2025년 6월 4일에 판매용으로 공개되었습니다.

Firsov는 이 결함이 기본 설치 환경에서 신뢰할 수 있게 트리거될 수 있으며, 코드베이스에 10년 이상 숨겨져 있었다고 언급했습니다. 현재 악용을 주도한 구체적인 행위자는 알려지지 않았지만, 이전에 APT28 및 Winter Vivern과 같은 국가 지원 해킹 그룹에 의해 여러 Roundcube 취약점이 무기화된 바 있습니다.

조치 일정

연방 민간 행정 부문(FCEB) 기관은 2026년 3월 13일까지 식별된 취약점을 해결해야 하며, 이를 통해 활성 위협으로부터 네트워크를 보호해야 합니다.