RoundCube: USA warnen vor aktiv ausgenutzten Sicherheitslücken

Die US-Cybersicherheitsbehörde CISA warnt eindringlich vor zwei kritischen Schwachstellen in der weit verbreiteten Webmail-Software RoundCube. Beide Lücken werden bereits aktiv von Angreifern ausgenutzt, wie die Behörde bestätigte. Für Tausende Unternehmen und Behörden weltweit, die das Open-Source-Tool nutzen, besteht akuter Handlungsbedarf.

Zwei gefährliche Lücken im Visier der Angreifer

Im Fokus stehen zwei gravierende Sicherheitsprobleme. Die erste, als CVE-2025-49113 geführt, ist eine kritische Schwachstelle mit der Höchstbewertung von 9,9 auf der CVSS-Skala. Sie ermöglicht einem Angreifer mit gültigen Zugangsdaten die vollständige Übernahme des Servers. Erschreckend: Dieser Fehler schlummerte über ein Jahrzehnt im Code, bevor er im Juni 2025 entdeckt und behoben wurde.

Der aktuelle Fall zeigt, wie unvorbereitet viele Betriebe auf IT-Sicherheitslücken reagieren und welche teuren Konsequenzen drohen. Dieser kostenlose Leitfaden zeigt Ihnen, wie Sie Ihr Unternehmen mit einfachen Maßnahmen proaktiv vor solchen Cyberangriffen schützen. IT-Sicherheit stärken ohne teure neue Mitarbeiter einzustellen

Die zweite Lücke (CVE-2025-68461) ist ein sogenanntes Cross-Site-Scripting (XSS). Mit einer manipulierten E-Mail, die ein schädliches SVG-Dokument enthält, können Angreifer Skripte im Browser des Opfers ausführen – ohne weitere Interaktion. Dies kann zum Diebstahl von Sitzungsdaten, E-Mails oder Zugangsdaten führen.

Bundesbehörden erhalten Patch-Zwang

CISA hat beide Schwachstellen in ihren Katalog bekannter, ausgenutzter Sicherheitslücken (KEV) aufgenommen. Diese Einstufung basiert auf konkreten Beweisen für aktive Angriffe. Für alle US-Bundesbehörden gilt daher eine verbindliche Anweisung: Sie müssen die verfügbaren Patches bis spätestens 13. März 2026 einspielen.

Die Dringlichkeit ist hoch. Bereits kurz nach der Veröffentlichung des Patches für die kritische RCE-Lücke im Juni 2025 tauchte Exploit-Code in Untergrundforen auf. Damals waren Zehntausende RoundCube-Instanzen angreifbar. Aktuelle Scans zeigen immer noch über 46.000 Systeme online – wie viele davon ungepatcht sind, ist unklar.

Warum RoundCube ein lukratives Ziel ist

RoundCube ist ein beliebter Open-Source-Webmail-Client, der häufig von Behörden, Unternehmen und Webhostern eingesetzt wird. Oft kommt er als Standard-Mail-Oberfläche in populären Verwaltungspanels wie cPanel zum Einsatz. Für Angreifer ist die Software daher eine Goldgrube: Sie bietet direkten Zugang zum zentralen Kommunikationskanal einer Organisation.

Die Historie spricht eine deutliche Sprache. Hochspezialisierte, mutmaßlich staatlich unterstützte Hacker-Gruppen wie APT28 und Winter Vivern haben RoundCube in der Vergangenheit für Spionageangriffe auf Regierungs- und Militärziele genutzt. Die aktuelle Warnung unterstreicht erneut den hohen Zielwert der Software.

Das Wettrennen zwischen Patch und Exploit

Die Situation illustriert ein klassisches Dilemma der Cybersicherheit: das Wettrennen zwischen der Verfügbarkeit eines Patches und seiner tatsächlichen Installation. Obwohl die Fehlerbehebung für beide Lücken seit Monaten verfügbar ist – seit Juni bzw. Dezember 2025 –, finden Angreifer weiterhin ungeschützte Systeme.

Während Angreifer gezielt Schwachstellen ausnutzen, stehen Unternehmen oft vor der Herausforderung, ihre IT-Abteilung nicht weiter belasten zu können. In diesem Experten-Report erfahren Sie, wie mittelständische Unternehmen effektive Schutzstrategien gegen Cyberkriminelle entwickeln, ohne dass das Budget explodiert. Experten-Report: Effektive Strategien gegen Cyberkriminelle sichern

Gründe für die Verzögerung gibt es viele: fehlendes Problembewusstsein, knappe IT-Ressourcen oder die Sorge vor Betriebsunterbrechungen. Die CISA-Warnung macht jedoch unmissverständlich klar: Das Risiko des Nichtstuns überwiegt bei weitem die Unannehmlichkeiten eines Updates.

Was Administratoren jetzt tun müssen

Sicherheitsexperten rechnen damit, dass die Angriffsversuche nach der öffentlichen Warnung noch zunehmen werden. Die Empfehlung an alle RoundCube-Betreiber ist eindeutig:

1. Sofortiges Patchen: Auf die gepatchten Versionen 1.6.11/1.6.12 oder 1.5.10/1.5.12 aktualisieren.
2. Logs überprüfen: Server-Protokolle auf verdächtige Aktivitäten im Zusammenhang mit den genannten CVE-Nummern untersuchen.
3. Monitoring verstärken: Sicherheitsüberwachung intensivieren, um verdächtiges Verhalten frühzeitig zu erkennen.

Für Unternehmen in Deutschland und der EU gilt die Warnung in gleichem Maße. RoundCube wird auch hierzulande in vielen IT-Umgebungen eingesetzt. Die aktive Ausnutzung macht schnelles Handeln zur Pflicht, um Datenpannen und Netzwerkkompromittierungen zu verhindern.