Team MailSniper
Autore
Lunedì, ore 8:47. L'IT manager di un'agenzia governativa dell'Europa orientale accende il monitor e trova la casella degli alert satura. Quarantadue notifiche arrivate nelle ultime tre ore. Accessi anomali da indirizzi IP non riconosciuti, sessioni simultanee aperte da Varsavia e da Singapore, token di autenticazione che appaiono e scompaiono come fantasmi nel sistema di log. Non è un guasto hardware. Non è un problema di rete. È qualcosa di molto peggio.
La prima telefonata è al team di sicurezza interno. La seconda, ore dopo, sarà all'autorità garante nazionale. Nel mezzo: triage frenetico, gigabyte di log da analizzare, centinaia di utenti da avvisare, password da resettare in massa, sessioni attive da terminare forzatamente. Tutto questo perché, in un angolo della rete, gira una versione non aggiornata di Roundcube — il client webmail open-source usato da milioni di organizzazioni nel mondo — con due vulnerabilità che qualcuno, dall'altra parte del pianeta, ha già imparato a sfruttare.
Venerdì scorso, la CISA — la Cybersecurity and Infrastructure Security Agency statunitense — ha aggiunto ufficialmente due falle di sicurezza che impattano Roundcube al proprio catalogo KEV (Known Exploited Vulnerabilities). La dicitura "known exploited" non è una previsione né un avvertimento teorico: significa che esistono prove concrete, raccolte dall'intelligence, di sfruttamento attivo in corso. Contro organizzazioni reali. Adesso.
Per i responsabili IT che non hanno ancora applicato le patch, è passata l'ora di svegliarsi.
Roundcube non è un nome che circola spesso nelle discussioni mainstream sulla cybersecurity. Ma nell'ecosistema delle pubbliche amministrazioni europee, delle università, degli ISP e delle piccole e medie imprese, è quasi onnipresente. Nato come progetto open-source agli inizi degli anni Duemila, è diventato uno degli standard de facto per le webmail self-hosted, distribuito attraverso migliaia di provider di hosting in tutto il mondo.
Il suo profilo di rischio è altrettanto consolidato. Roundcube fa una cosa tecnicamente complessa: prende HTML esterno — il corpo delle email — e lo renderizza nel browser dell'utente. Ogni messaggio è un documento potenzialmente ricco di immagini inline, CSS, link. Per farlo in sicurezza, il software deve sanitizzare quel contenuto, rimuovendo tutto ciò che potrebbe eseguire codice arbitrario nel browser. Quando il sanitizer ha un buco, le conseguenze possono essere gravi.
Le vulnerabilità XSS — Cross-Site Scripting — sono storicamente il tallone d'Achille di Roundcube. Non sono esotiche né particolarmente difficili da sfruttare: esistono toolkit automatizzati, exploit già pronti, e una lunga letteratura tecnica su come identificare installazioni vulnerabili. Motori di ricerca specializzati come Shodan o Censys permettono di enumerare in pochi minuti migliaia di server Roundcube esposti su internet pubblico, spesso con la versione del software dichiarata in chiaro negli header HTTP.
È un ambiente che gli attori delle minacce più sofisticati conoscono benissimo. Il gruppo APT28 — attribuito dai servizi d'intelligence occidentali alla GRU russa, noto anche come Fancy Bear — ha sfruttato vulnerabilità di Roundcube in più campagne documentate, prendendo di mira ministeri degli esteri, ambasciate e organizzazioni militari in Europa e Nord America. Il pattern è sempre lo stesso: identificare un'installazione non aggiornata, sfruttare una XSS per compromettere le sessioni degli utenti, leggere le comunicazioni, muoversi lateralmente nella rete.
L'aggiunta al catalogo KEV di febbraio 2026 si inserisce in questo contesto senza sorprese. Cambia il dettaglio tecnico. La strategia d'attacco è la stessa di sempre.
Per capire l'exploit, bisogna partire da un fatto controintuitivo: l'arma principale non è un file allegato. Non è un link di phishing su cui fare clic. È l'email stessa.
Il meccanismo sfrutta il modo in cui Roundcube processa il contenuto HTML dei messaggi in arrivo. Se il componente di sanitizzazione presenta una falla, un attaccante può costruire un'email il cui corpo contiene codice JavaScript camuffato tra i tag HTML. Quando la vittima apre il messaggio — o, in alcuni scenari, lo visualizza nel pannello di anteprima senza nemmeno aprirlo completamente — il browser esegue quel codice all'interno della sessione webmail attiva.
I ricercatori chiamano questo scenario "zero-click exploitation": nessuna interazione richiesta, nessun errore dell'utente da dover correggere con una campagna di awareness. La sola visualizzazione del messaggio è sufficiente a compromettere l'account.
Da quel momento, lo scenario si biforca. La prima strada porta al furto del token di sessione — il cookie che Roundcube utilizza per mantenere l'utente autenticato. Con quel token, l'attaccante può accedere all'account da qualsiasi browser nel mondo, senza conoscere la password. L'autenticazione a due fattori configurata sul login? Non viene nemmeno invocata: la sessione è già aperta, MFA ha già svolto il suo compito nella fase precedente.
La seconda strada è ancora più insidiosa.
Il codice iniettato via XSS può agire direttamente nell'interfaccia webmail, compiendo azioni per conto della vittima in modo completamente silenzioso. Può esfiltrare l'intero contenuto della casella, inviare messaggi fingendo di essere l'utente, oppure — la tecnica più pericolosa nel lungo periodo — configurare una regola di inoltro automatico che manda copie di tutte le email future a un indirizzo controllato dall'attaccante.
Una regola di inoltro silenzioso non lascia tracce evidenti nell'interfaccia utente standard. Non genera alert di autenticazione. Non produce login anomali da IP sconosciuti. L'account della vittima funziona normalmente e non mostra niente di sospetto. Ma ogni email in arrivo viene copiata, in tempo reale, all'esterno. Per settimane. Per mesi. Senza che nessuno se ne accorga.
La catena operativa per un attacco su larga scala è relativamente semplice da automatizzare. L'attaccante enumera i server Roundcube esposti con tool specializzati, filtra quelli che girano versioni vulnerabili, invia campagne email con payload XSS incorporati nel corpo del messaggio. Aspetta. Raccoglie i token di sessione. La fase manuale — in cui un operatore entra negli account compromessi e decide cosa fare con i dati — arriva solo sugli obiettivi identificati come più preziosi. È un modello industriale, efficiente, scalabile.
Le conseguenze di un'intrusione via webmail raramente si fermano alla sola casella di posta. L'email è il centro gravitazionale dell'identità digitale di un'organizzazione: da un account compromesso, un attaccante può richiedere il reset della password di quasi ogni altro servizio aziendale, intercettare comunicazioni finanziarie, accedere a documenti condivisi via link, leggere corrispondenza legale e negoziazioni riservate.
Nel contesto delle campagne documentate contro enti governativi europei — il target privilegiato degli attacchi Roundcube attribuiti ad APT avanzati — il danno supera la dimensione economica e diventa una questione di sicurezza nazionale. Credenziali di funzionari, comunicazioni riservate tra ministeri, dati di approvvigionamento sensibili: tutto ciò che transita per email è teoricamente accessibile a chi ha conquistato la sessione.
Per le aziende private, il danno è più misurabile ma ugualmente severo. Il GDPR impone la notifica di data breach entro 72 ore all'autorità garante, con sanzioni potenziali fino al 4% del fatturato annuo globale nei casi più gravi. A questo si aggiungono i costi diretti dell'incident response — spesso nell'ordine delle decine di migliaia di euro anche per organizzazioni di medie dimensioni — il danno reputazionale verso clienti e partner, e il rischio di azioni legali da parte dei soggetti i cui dati sono stati esposti.
La variabile più critica resta il tempo. Più a lungo un accesso non autorizzato rimane non rilevato, maggiore è il danno cumulativo. E gli attacchi via webmail XSS sono progettati esattamente per non essere rilevati.
La risposta immediata alla segnalazione CISA è ovvia: aggiornare Roundcube all'ultima versione disponibile senza indugio. Il catalogo KEV non è una lista accademica — è un documento d'azione. Le agenzie federali statunitensi hanno tempi mandatari di remediation; per tutti gli altri, quella scadenza dovrebbe fungere da benchmark operativo.
Ma la patch risolve il problema specifico di oggi. Non quello strutturale di domani.
Il pattern degli attacchi a Roundcube rivela una verità scomoda: la sicurezza del server webmail e quella del gateway email sono due layer separati, e trattarli come se fossero uno solo lascia scoperta metà della superficie d'attacco. Un client non aggiornato è un rischio applicativo lato server. Un'email contenente un payload XSS che arriva in casella è un rischio che dovrebbe essere intercettato prima — a livello di gateway, durante l'analisi del contenuto, prima che il messaggio raggiunga l'utente finale.
Le organizzazioni che hanno implementato sistemi di sicurezza email con analisi profonda del contenuto dispongono di un livello di protezione aggiuntivo che può rallentare o bloccare questi vettori anche in presenza di un client vulnerabile. Non è una soluzione alternativa alla patch; è un secondo strato di difesa indipendente dallo stato di aggiornamento dei client. MailSniper, ad esempio, analizza ogni messaggio in ingresso prima che raggiunga l'utente finale, operando esattamente a questo livello di protezione.
Vanno considerate anche le misure di rilevamento. L'MFA sul login è necessaria ma non sufficiente: come abbiamo visto, non ferma lo sfruttamento di una XSS che opera su una sessione già autenticata. Servono sistemi di anomaly detection che monitorino comportamenti insoliti post-autenticazione: accessi da geolocalizzazioni anomale, creazione di regole di inoltro non autorizzate, variazioni anomale nei volumi di email in export o in invio.
Un inventario aggiornato dei servizi esposti su internet è la precondizione non negoziabile. Sapere quale versione di quale software è in produzione, monitorare i bollettini di sicurezza dei vendor, e avere SLA definiti per il patching non sono buone pratiche riservate alle grandi aziende. Sono la base minima per qualsiasi organizzazione che voglia gestire la propria superficie d'attacco in modo consapevole.
Puoi approfondire come strutturare un approccio a livelli alla sicurezza della posta elettronica nella sezione servizi, oppure trovare risposte alle domande più comuni nelle FAQ.
L'aggiunta di Roundcube al catalogo KEV della CISA è la conferma di qualcosa che i ricercatori di sicurezza ripetono da anni: le applicazioni webmail sono infrastruttura critica, non software di contorno. Eppure vengono gestite, in troppe organizzazioni, con la stessa attenzione di un plugin installato e dimenticato.
La domanda che ogni responsabile IT dovrebbe porsi non è "usiamo Roundcube?" ma "sappiamo esattamente quale versione abbiamo in produzione, dove è esposta, e chi la monitora?" Se la risposta a una sola di queste tre domande è incerta, il problema non è la vulnerabilità specifica che ha spinto la CISA ad agire.
Il problema è sistemico. E i sistemi con problemi sistemici, nel 2026, non aspettano di essere trovati.
Team MailSniper
Team MailSniper
Esperti di sicurezza email e protezione aziendale. Il team MailSniper analizza quotidianamente le minacce informatiche per offrire soluzioni all'avanguardia alle aziende italiane.
Scopri chi siamoVenerdì pomeriggio, CISA aggiunge CVE-2025-53521 al KEV: exploit attivi su F5 BIG-IP APM, il sistema che gestisce l'accesso remoto di migliaia di aziende. La corsa contro il tempo è iniziata.
LeggiIl Rapporto Clusit 2025 lancia l'allarme: il manifatturiero italiano è diventato il bersaglio preferito degli hacker. Con 213 attacchi in sei mesi, le aziende industriali devono correre ai ripari prima che sia troppo tardi.
LeggiQuando i criminali si nascondono dietro un fornitore fidato, l'email non sembra pericolosa — perché non lo è. La minaccia arriva dall'interno della catena di fiducia. Ecco come funziona il vendor email compromise e cosa si può fare.
LeggiRicevi i nostri articoli e consigli direttamente nella tua casella di posta.
Scopri come MailSniper puo' proteggere le tue email aziendali con tecnologia AI di livello enterprise.