Vooropgesteld: wij verzoeken u vriendelijk dit bericht eerst aandachtig door te lezen (eventueel tweemaal), vóórdat u hierover een supportticket aanmaakt. Indien u toch een ticket instuurt zonder dit artikel gelezen te hebben, behouden wij ons het recht voor om direct technische ondersteuning in rekening te brengen. Alle relevante informatie en uitleg vindt u hieronder. Alvast dank voor uw begrip.

Een gevaarlijk lek, tien jaar onopgemerkt

Op 1 juni 2025 werd een ernstige kwetsbaarheid bekendgemaakt in Roundcube Webmail, een populair webgebaseerd mailplatform dat wereldwijd door zowel hostingbedrijven als eindgebruikers wordt ingezet. De kwetsbaarheid, geregistreerd als CVE-2025-49113, is uitzonderlijk ernstig en scoort een CVSS-classificatie van 9.9. Het gaat om een zogeheten Remote Code Execution (RCE)-fout, waarbij een aanvaller in staat is om op afstand willekeurige code uit te voeren op de server — mits deze over geldige inloggegevens beschikt.

Wat deze kwetsbaarheid extra zorgwekkend maakt, is het feit dat deze al meer dan tien jaar in de broncode van Roundcube aanwezig blijkt te zijn. Alle versies vanaf 1.1.0 (uit 2014) tot en met 1.6.10 zijn vatbaar. In totaal zouden volgens Shadowserver-scans wereldwijd meer dan 80.000 Roundcube-servers direct aan het internet blootstaan, waarvan een groot deel nog niet is bijgewerkt.

Hoe werkt de exploit?

De kwetsbaarheid bevindt zich in de manier waarop Roundcube omgaat met bestandsuploads via de instellingenpagina. Door misbruik te maken van de $_GET['_from'] parameter en een speciaal gemanipuleerde bestandsnaam te uploaden — bijvoorbeeld met een uitroepteken aan het begin — kan een aanvaller sessievariabelen manipuleren. Dit maakt het mogelijk om PHP-objecten te deserialiseren en zodoende willekeurige PHP-code uit te voeren.

Dit type aanval vereist weliswaar een geldige login, maar in de praktijk zijn veel mailbox-accounts zwak beveiligd of reeds gelekt via eerdere datalekken. Bovendien wordt dit lek inmiddels actief misbruikt, en zijn meerdere versies van werkende exploits opgedoken op darknet-forums en exploitmarktplaatsen.

Onze directe reactie op 12 juni 2025

Onze technische teams hebben op donderdag 12 juni direct actie ondernomen nadat duidelijk werd dat de exploit actief misbruikt werd. Vanaf de vroege ochtend tot diep in de avond is er non-stop gewerkt om alle beheerde servers te controleren, bij te werken of waar nodig te deactiveren.

Voor Plesk-servers met recente besturingssystemen zoals CentOS 7.x en AlmaLinux 8.x, is de situatie relatief goed onder controle. In de meeste gevallen werd de beveiligingsupdate automatisch doorgevoerd via Plesk's eigen updatekanaal. Voor servers waarbij deze automatische update nog niet was uitgevoerd, hebben wij direct handmatig ingegrepen en de juiste patch toegepast.

Anders lag het bij oudere Plesk-omgevingen op basis van CentOS 6.x. Dit besturingssysteem is sinds november 2020 officieel end-of-life en ontvangt geen enkele ondersteuning meer van de community, Red Hat, of Plesk zelf. Toch draaien er helaas nog enkele Plesk-servers op dit platform. In deze gevallen hebben onze technici het benodigde kwetsbare Roundcube-bestand handmatig gepatcht. Wij willen hier nadrukkelijk bij vermelden dat het draaien op een dergelijk verouderd OS onverantwoord en risicovol is. Een migratie naar een ondersteund platform is absoluut noodzakelijk.

Ook voor DirectAdmin-servers met een modern besturingssysteem zijn wij direct aan de slag gegaan. Alle Roundcube-installaties die op CentOS 7.x of AlmaLinux 8.x draaiden, zijn gecontroleerd en — waar nodig — handmatig bijgewerkt naar de meest recente, veilige versies 1.5.10 of 1.6.11. Hierin is de kwetsbaarheid definitief opgelost.

De situatie bij DirectAdmin-servers met CentOS 6.x is vergelijkbaar met die van Plesk. Indien een upgrade naar een veilige Roundcube-versie mogelijk was, is dit uitgevoerd. In alle overige gevallen is Roundcube gedeactiveerd en worden gebruikers automatisch doorgestuurd naar een alternatief webmailprogramma zoals Squirrelmail. Wij bieden in deze context dan ook geen enkele verdere ondersteuning op Roundcube onder CentOS 6.x meer aan.

Bijzondere aandacht verdient het scenario waarin Roundcube buiten DirectAdmin of Plesk om is geïnstalleerd — bijvoorbeeld handmatig binnen een LAMP-stack, of in een submap of gebruikersdirectory. Dergelijke installaties vallen buiten ons beheer en onze ondersteuning. Klanten die hiervan gebruik maken zijn zelf verantwoordelijk voor het onderhouden en beveiligen van deze software. Supportaanvragen in deze categorie vallen onder technisch support op basis van uurtarief.

Tot slot: indien u constateert dat Roundcube op uw serveromgeving plotseling is gedeactiveerd of verwijderd, dan is dit vrijwel zeker gedaan door onze technici, omdat de gebruikte versie niet meer te patchen viel. Dit kan te maken hebben met een te oud OS, een te oude Roundcube-release of het uitblijven van updates. Dit gebeurt uitsluitend ter bescherming van uw omgeving, uw e-mailverkeer en uw gebruikers.

Ons dringende advies

Wij roepen iedereen met klem op om nooit te blijven draaien op verouderde besturingssystemen zoals CentOS 6.x. Niet alleen loopt u daardoor grote veiligheidsrisico’s, maar u kunt op korte termijn ook geen support meer verwachten van hostingpanels zoals Plesk of DirectAdmin. Voor migraties naar een moderne omgeving verwijzen wij u naar onze kennisbankartikelen:

• Voor Plesk servers zie: https://www.helpburo.eu/Knowledgebase/Article/View/plesk-server-vpsdps-migratie-naar-nieuwe-os-besturingssysteem

• Voor DirectAdmin servers: https://www.helpburo.eu/Knowledgebase/Article/View/directadmin-server-vpsdps-migratie-naar-nieuwe-os-besturingssysteem

Houd er rekening mee dat het momenteel bijzonder druk is binnen onze organisatie. Gemiddeld bedraagt de wachttijd voor het inplannen van een migratie momenteel tussen de 4 en 8 weken, mede vanwege reeds geplande werkzaamheden en vakantieroosters van onze technici.

Ook CentOS 7.x is sinds juni 2024 officieel end-of-life verklaard, maar wordt nog ondersteund door Plesk via het Extended Lifecycle Support (ELS) programma. Bij DirectAdmin is deze ondersteuning momenteel nog aanwezig, al is het zeer de vraag hoe lang dat nog het geval zal blijven.

Tot slot

Cybersecurity is nooit “klaar”. Het is een proces van voortdurend monitoren, patchen en meebewegen met nieuwe dreigingen. Deze Roundcube-kwetsbaarheid toont pijnlijk aan hoe lang een lek onopgemerkt kan blijven, en hoe snel het daarna wereldwijd misbruikt wordt.

Wij doen er alles aan om onze infrastructuur veilig te houden en danken al onze klanten voor het vertrouwen en het geduld. Vragen over deze kwetsbaarheid of de uitgevoerde maatregelen? Neem gerust contact met ons op. Voor omgevingen die buiten ons beheer vallen, verwijzen wij u naar ons technisch supportbeleid.

Blijf altijd waakzaam. En blijf vooral up-to-date.