
Roundcube 舊漏洞俾疑似中國關連團伙攞嚟攻大學,IT 要即補
Proofpoint 話攻擊靠開信觸發,舊版 webmail 可能變內部跳板
一封 email 都可以變入口
iThome 報道引述 Proofpoint 嘅研究,疑似同中國有關嘅 UNK_MassTraction 由 2026 年 5 月起,鎖定美國同加拿大大學物理、工程學系用緊嘅 Roundcube webmail。Proofpoint 用嘅講法係「suspected China-aligned」,判斷基礎包括中國語文痕跡、VShell 使用模式同相關基建線索;暫時冇公開資料顯示香港機構中招。

圖片:Proofpoint
點解 Roundcube 特別麻煩
嚴格講,Roundcube 係 webmail client,坐喺 IMAP/SMTP 前面做瀏覽器介面,唔等同 mail server 本體;但佢面向網上,一爆就貼住 email 身份同 session。好多細機構會經 hosting、校內舊 server 或控制台沿用多年,入面又有收件箱、通訊錄、密碼重設信同內部對話;一旦俾人入到,攻擊者可以偷信、改轉寄規則、扮同事再 phishing,後續影響通常大過單一帳戶失守。
今次攻擊鏈點行
Proofpoint 話,第一步係利用 CVE-2024-42009:收件人只要喺有漏洞嘅 Roundcube 入面打開特製郵件,JavaScript 就可以喺瀏覽器 context 執行。跟住個 IceCube payload 會攞 username、password、2FA material、cookie 同 CSRF token,再借 CVE-2025-49113 呢類反序列化漏洞喺郵件 server 落 webshell,或者喺 RAM 入面跑 VShell 後門。
CyberScoop 引述 Proofpoint 研究員 Greg Lesnewich 話,已確認受害大學少過十間,可能受影響嘅大學係幾十間;同時 Proofpoint 自己都講清楚,佢哋主要睇到初始入站郵件,冇資料證明偷走咗咩內容。呢點好重要,因為今次威脅夠實,但唔代表可以亂估資料已經外洩到邊。
舊漏洞其實好日常
大家成日驚零日,但今次兩個洞都唔係今日先有。CVE-2024-42009 喺 2024 年已經由 1.5.8 同 1.6.8 修咗,NVD 評為 9.3 critical,CISA 2025 年 6 月已經放入 Known Exploited Vulnerabilities;CVE-2025-49113 亦喺 2025 年 6 月由 1.5.10 同 1.6.11 修咗,2026 年 2 月再入 CISA KEV。換句話講,攻擊者追住打嘅好多時係冇跟 patch 節奏嘅舊服務。
Roundcube 官方喺 2026 年 7 月 5 日又出咗 1.6.17 同 1.7.2 安全更新,修多個 XSS、SSRF bypass、password plugin 問題同 TNEF decoder 問題。用緊 Roundcube 嘅機構,要問版本分支仲有冇支援、供應商幾時追上最新安全版;只補到某個 CVE,之後幾個 release 留低嘅洞一樣會出事。
用緊 Roundcube 要點查
第一步好普通,但最容易漏:確認你有冇 Roundcube。唔少人係經 cPanel、Plesk、校方舊 server 或 hosting 供應商入 webmail,前台未必大大隻字寫住 Roundcube。IT admin 要攞到實際版本、安裝路徑、套件來源同更新責任;如果係供應商代管,就直接要佢交代現行版本、最近安全更新日期同有冇查過 Proofpoint IoC。
跟住睇痕跡:web server access log、PHP error log、Roundcube log、mail log、登入紀錄、轉寄規則同異常寄件。Proofpoint 提到 SquareShell 可能放喺 plugins/newmail_notifier/mail_preview.php,亦列出多個 C2 IP、URL 同 hash;呢啲資料主要係畀防守一方做比對同追查。見到可疑 PHP、陌生 plugin、奇怪 outbound connection,就先隔離主機、保留 log、重設受影響帳戶密碼,session 同 2FA token 都要 revoke。
香港組織要點諗
香港唔少學校、NGO、細公司同舊式 hosting 套餐,仍可能有 Roundcube 或同類 webmail。今次冇公開香港受害者,所以唔使自己嚇自己;但 webmail 入侵之後,最現實嘅風險係偷信件、偷研究文件、偷報價或合約,再用真帳戶向客戶、供應商、學生或教職員 phishing。對手唔一定要爆晒你成個系統,攞到 email 已經夠佢哋慢慢玩。
最實際做法好簡單:如果你管緊 Roundcube,今日就查版本、追 patch、翻 log、問供應商。今次講嘅係 Roundcube,但同一道理亦適用於其他長期暴露喺網上、又冇定期 patch 嘅 webmail。
參考來源
- iThome — 中國駭客利用郵件伺服器Roundcube已知漏洞,攻擊美國大學物理與工程學系 — original report
- Proofpoint:One Email Closer to the Edge — 主要技術來源,列出 UNK_MassTraction、IceCube、SquareShell、VShell、攻擊流程同 IoC。
- NVD:CVE-2024-42009 — 核對 XSS 漏洞影響版本、CVSS 9.3 同 CISA KEV 狀態。
- NVD:CVE-2025-49113 — 核對反序列化 RCE 影響版本、評分同 CISA KEV 日期。
- Roundcube:Security updates 1.6.11 and 1.5.10 released — 官方安全公告,用嚟確認 CVE-2025-49113 修補版本。
- Roundcube:Security updates 1.6.17 and 1.7.2 released — 最新官方安全更新,提醒 admin 唔好只補單一舊洞。
- CyberScoop:Suspected Chinese espionage group used a Roundcube exploit chain — 補充 Proofpoint 對受害規模同 ongoing 風險嘅講法。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







