Luka w popularnym systemie pocztowym zagrożeniem dla bezpieczeństwa
Oprogramowanie Roundcube, jedno z najczęściej stosowanych rozwiązań webmailowych w krajowym systemie cyberbezpieczeństwa, znalazło się w centrum pilnego komunikatu wydanego przez Pełnomocnika Rządu do spraw Cyberbezpieczeństwa, Krzysztofa Gawkowskiego. 20 czerwca 2025 roku opublikowano formalną rekomendację dla podmiotów KSC, wzywającą do natychmiastowej aktualizacji systemu do wersji 1.5.10 (dla linii LTS) lub 1.6.11 (dla wersji rozwojowej). Powodem są dwie wykryte podatności: CVE-2024-42009, umożliwiająca kradzież danych uwierzytelniających, oraz CVE-2025-49113, pozwalająca na zdalne wykonanie kodu przez uwierzytelnionego użytkownika. Obie luki zostały ocenione jako potencjalnie krytyczne, szczególnie w kontekście zagrożeń dla instytucji publicznych, administracji i operatorów kluczowej infrastruktury. Co istotne, zagrożenie to nie jest już jedynie teoretyczne. Po konsultacjach z zespołami CSIRT NASK, CSIRT GOV oraz CSIRT MON, Pełnomocnik potwierdził realną możliwość wystąpienia incydentu o charakterze krytycznym, który mógłby wpłynąć na bezpieczeństwo publiczne oraz interes państwa. Dlatego też aktualizacja Roundcube nie jest już tylko dobrą praktyką, ale formalnie zalecaną i uzasadnioną koniecznością.
KSC zobowiązane do reakcji – i prewencji
W piśmie podkreślono, że wszystkie podmioty zaliczane do krajowego systemu cyberbezpieczeństwa, zgodnie z ustawą o KSC z 5 lipca 2018 r., są zobowiązane do wykonania tej rekomendacji. Choć prawo dopuszcza możliwość wniesienia zastrzeżeń, w praktyce oznacza to konieczność udowodnienia, że dana instytucja nie jest narażona na skutki wykorzystywania podatnych wersji Roundcube lub już wdrożyła skuteczne zabezpieczenia. Obok samej aktualizacji, Pełnomocnik przypomina o innych istotnych działaniach prewencyjnych, które należy traktować jako nieodłączny element cyberhigieny w sektorze publicznym. Na czele zaleceń znajduje się regularne aktualizowanie oprogramowania, niezależnie od typu systemu, oraz wdrożenie dwuskładnikowego uwierzytelniania (2FA), które znacząco utrudnia dostęp do kont nawet w przypadku kradzieży loginu i hasła. Na tym tle warto zauważyć, że wiele organizacji wciąż korzysta ze starszych systemów pocztowych, które nie były odpowiednio serwisowane lub aktualizowane. Właśnie te instytucje stanowią dziś potencjalne słabe punkty w całej architekturze państwowego cyberbezpieczeństwa. Roundcube, ze względu na otwartoźródłowy charakter, dużą dostępność i niskie koszty wdrożenia, jest szczególnie popularny – ale też wyjątkowo narażony, jeśli nie jest właściwie utrzymywany.
Rząd nie ujawnia jeszcze informacji o potencjalnych incydentach, które mogły wyniknąć z nieuwagi w tej sprawie, jednak wydanie formalnej rekomendacji z nadanym numerem i zakresem odniesienia sugeruje, że temat był rozpatrywany z najwyższą powagą.
