Numéro : AL25-007
Date : 11 juin 2025
Auditoire
La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 1 mars 2025, Roundcube a publié un bulletin de sécurité concernant une vulnérabilité critique qui touche son courriel Web. Le problème serait lié à la vulnérabilité de désérialisation d’objet par PHP (CVE-2025-49113)Note de bas de page 1 qui provoque l’exécution de code à distance après l’authentification. Les versions de produits de Roundcube touchées sont les suivantesNote de bas de page 2 :
- Courriel Web – versions antérieures à la version 1.5.10.
- Courriel Web – versions antérieures à la version 1.6.11.
En réponse à cette vulnérabilité, le Centre pour la cybersécurité a publié le bulletin AV25-309 le 2 juin 2025Note de bas de page 3.
Bien que le Centre pour la cybersécurité n’ait reçu aucun rapport d’exploitation, l’existence de la preuve de concept hausse significativement la probabilité que des auteurs malveillants abusent de la vulnérabilité. La publication d’une telle preuve de concept signifie qu’il est impératif de prendre les mesures nécessaires pour évaluer et atténuer cette vulnérabilité.
Le Centre pour la cybersécurité est au courant que l’exploitation de la vulnérabilité CVE-2024-42009 a été utilisée pour obtenir des justificatifs d’identité valides, qui pourrait entraîner l’exploitation de la vulnérabilité CVE-2025-49113. La Cybersecurity and Infrastructure Security Agency (CISA) a ajouté la vulnérabilité CVE-2024-42009 à son catalogue de vulnérabilités exploitées connues (KEV)Note de bas de page 4Note de bas de page 5 le 9 juin 2025.
Mesures recommandées
Le Centre pour la cybersécurité recommande fortement aux organismes de mettre à jour le courriel Web de Roundcube aux versions 1.5.10+ ou 1.6.11+Note de bas de page 2, de sorte à atténuer les problèmes signalés par les deux vulnérabilités mentionnées (CVE-2024-42009 et CVE-2025-49113).
Le Centre pour la cybersécurité recommande aux organismes de prendre les mesures suivantes :
- évaluer l’installation du courriel Web de Roundcube;
- mettre à jour le courriel Web de Roundcube immédiatement;
- surveiller les systèmes touchés pour tout signe d’exploitation;
- assurer une surveillance en cas de tentative d’attaque par force brute et, si possible, adopter des techniques de limitation de débit.
De plus, le Centre pour la cybersécurité recommande fortement aux organismes de mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 6 du Centre pour la cybersécurité, en particulier celles liées aux stratégies suivantes :
- intégrer, surveiller et défendre les passerelles Internet;
- appliquer des correctifs aux applications et aux systèmes d’exploitation;
- isoler les applications Web.
Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, elles et ils sont invités à le signaler par l'entremise de Mon cyberportail ou par courriel à contact@cyber.gc.ca.