CISA: Celah Roundcube yang Baru Ditambal Kini Dieksploitasi dalam Serangan Aktif

Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) menandai dua kerentanan pada Roundcube Webmail sebagai celah yang kini aktif dieksploitasi dalam serangan siber. Lembaga tersebut juga memerintahkan seluruh instansi federal untuk menerapkan pembaruan keamanan dalam waktu tiga minggu.

Roundcube Webmail merupakan klien email berbasis web yang sejak 2008 menjadi antarmuka email default pada panel kontrol hosting cPanel, salah satu platform manajemen server paling banyak digunakan di dunia.

Dua CVE Masuk Daftar KEV

Kerentanan pertama yang dikategorikan sebagai aktif dieksploitasi adalah CVE-2025-49113, sebuah celah remote code execution (RCE) kritis. Celah ini diketahui telah dimanfaatkan hanya beberapa hari setelah patch dirilis pada Juni 2025. Saat itu, organisasi pemantau keamanan internet Shadowserver memperingatkan bahwa lebih dari 84.000 instalasi Roundcube yang rentan terekspos terhadap serangan.

Kerentanan kedua, CVE-2025-68461, ditambal pada Desember 2025. Celah ini memungkinkan penyerang jarak jauh tanpa autentikasi melakukan serangan cross-site scripting (XSS) dengan kompleksitas rendah melalui penyalahgunaan tag animate dalam dokumen SVG.

Tim keamanan Roundcube saat merilis versi 1.6.12 dan 1.5.12 secara tegas merekomendasikan agar seluruh instalasi produksi pada cabang 1.6.x dan 1.5.x segera diperbarui untuk menutup celah tersebut.

Ribuan Instansi Masih Terpapar

Berdasarkan data Shodan, saat ini terdapat lebih dari 46.000 instance Roundcube yang dapat diakses melalui internet. Namun, belum ada informasi resmi mengenai berapa banyak di antaranya yang masih rentan terhadap eksploitasi CVE-2025-49113 maupun CVE-2025-68461.

Meski CISA tidak merinci detail teknis serangan yang sedang berlangsung, kedua celah tersebut telah dimasukkan ke dalam katalog Known Exploited Vulnerabilities (KEV). Dalam keterangannya, CISA menyebut kerentanan ini sebagai vektor serangan yang sering digunakan oleh pelaku ancaman dan berisiko signifikan bagi infrastruktur federal.

Secara total, CISA saat ini melacak sepuluh kerentanan Roundcube yang pernah atau sedang dieksploitasi secara aktif.

Tenggat Waktu Hingga 13 Maret

Sesuai Binding Operational Directive (BOD) 22-01 yang diterbitkan pada November 2021, seluruh lembaga Federal Civilian Executive Branch (FCEB) diwajibkan mengamankan sistem mereka dari celah tersebut paling lambat 13 Maret 2026.

Roundcube memang kerap menjadi target kelompok kejahatan siber maupun aktor negara. Sebelumnya, kerentanan stored XSS CVE-2023-5631 dimanfaatkan dalam serangan zero-day oleh kelompok peretas Rusia Winter Vivern (TA473) terhadap entitas pemerintahan Eropa, serta oleh kelompok APT28 untuk menembus sistem email pemerintah Ukraina.

Kasus terbaru ini kembali menegaskan pentingnya manajemen patch yang disiplin, terutama pada layanan email berbasis web yang sering menjadi pintu masuk awal dalam serangan siber terarah.