أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية (CISA) عن إدراج ثغرتين أمنيتين في برنامج البريد الإلكتروني الشهير Roundcube ضمن قائمة الثغرات المعروفة والمستغلة فعلياً (KEV Catalog)، وذلك بعد ثبوت وجود استغلال نشط لهما من قبل جهات مجهولة. هذه الخطوة تأتي في إطار جهود الوكالة لحماية الشبكات الفيدرالية وضمان سرعة الاستجابة للتهديدات المتزايدة.
تفاصيل الثغرات الأمنية
الثغرة الأولى تحمل الرمز CVE-2025-49113 وتُصنّف بدرجة خطورة 9.9 وفق مقياس CVSS، وهي ناتجة عن مشكلة في deserialization of untrusted data داخل ملف upload.php، حيث لم يتم التحقق من قيمة معامل _from في الرابط، ما يسمح بتنفيذ أوامر عن بُعد من قبل مستخدمين مصادق عليهم. تم إصلاح هذه الثغرة في يونيو 2025، إلا أن تقارير أمنية أكدت أن المهاجمين تمكنوا من استغلالها خلال 48 ساعة فقط من إعلانها، بل وجرى بيع استغلال جاهز لها في الأسواق السوداء بتاريخ 4 يونيو 2025.
أما الثغرة الثانية فهي CVE-2025-68461 بدرجة خطورة 7.2، وتتمثل في XSS عبر وسم animate داخل مستندات SVG، وقد جرى إصلاحها في ديسمبر 2025. هذه الثغرة تتيح للمهاجمين حقن شيفرات خبيثة يمكنها سرقة بيانات المستخدمين أو تنفيذ أوامر غير مصرح بها.
خلفيات الاستغلال والجهات المتورطة
شركة الأمن السيبراني FearsOff، التي أسسها الباحث الأمني Kirill Firsov، كانت وراء اكتشاف الثغرة الأولى، حيث أكد أن الخلل ظل مخفياً في قاعدة الشيفرة لأكثر من عشر سنوات، ويمكن استغلاله بسهولة في الإعدادات الافتراضية للبرنامج. ورغم عدم الكشف عن هوية الجهات التي تستغل الثغرتين حالياً، إلا أن تاريخ برنامج Roundcube يشير إلى أن ثغرات مشابهة سبق أن استُخدمت من قبل مجموعات تهديد مدعومة من دول مثل APT28 وWinter Vivern.
التدابير المطلوبة من الوكالات الأميركية
أصدرت CISA توجيهاً إلى الوكالات الفيدرالية المدنية (FCEB) بضرورة معالجة هذه الثغرات قبل تاريخ 13 مارس 2026، وذلك لتأمين شبكاتها ضد التهديدات النشطة. هذا الإجراء يعكس أهمية سرعة الاستجابة في إدارة الثغرات الأمنية، خصوصاً عندما يتعلق الأمر ببرامج البريد الإلكتروني التي تُعد هدفاً رئيسياً للهجمات السيبرانية بسبب حساسيتها واعتماد المؤسسات عليها بشكل يومي.
